Adobe-Sicherheitsbulletin

Sicherheits-Updates für Magento verfügbar | APSB21-30

Bulletin-ID

Veröffentlichungsdatum

Priorität

ASPB30-21

11. Mai 2021      

2

Zusammenfassung

Eine erfolgreiche Nutzung könnte zu einem unberechtigten Zugang zu eingeschränkten Ressourcen führen. Magento hat Updates für Magento Commerce- und Magento Open Source-Editionen veröffentlicht.Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.    

Betroffene Versionen

Produkt Version Plattform

Magento Commerce 
2.4.2 und frühere Versionen  
Alle
2.4.1-p1 und frühere Versionen  
Alle
2.3.6-p1 und frühere Versionen 
Alle
Magento Open Source 

2.4.2 und frühere Versionen
Alle
2.4.1-p1 und frühere Versionen
Alle
2.3.6-p1 und frühere Versionen 
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Versionshinweise
Magento Commerce 2.4.2-p1
Alle
2

2.4.x – Versionshinweise

2.3.x – Versionshinweise

2.3.7 Alle
2
Magento Open Source 
2.4.2-p1
Alle 2
2.3.7 Alle
2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Vorauthentifizierung? Sind Administratorrechte erforderlich?

Magento-Fehler-ID CVE-Nummern
Offenlegung von Informationen 
Anzeigen des Dokumentstammpfads 
Mittel
Nein
Ja
PRODSECBUG-2927
CVE-2021-28566
Unzulässige Autorisierung 
Unberechtigte Änderung der Kundendaten  Mittel 
 
Nein
Ja PRODSECBUG-2931
CVE-2021-28567
Cross-Site-Scripting (DOM-basiert)
Willkürliche JavaScript-Ausführung im Browser
Wichtig
Ja Nein PRODSECBUG-2918
CVE-2021-28556
Unzulässige Autorisierung
Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
Mittel
Nein
Ja
PRODSECBUG-2935
CVE-2021-28563
Verletzung sicherer Designgrundsätze
Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
Mittel 
Nein
Ja
PRODSECBUG-2943
CVE-2021-28583
Path Traversal
Willkürlicher Dateisystem-Schreibzugriff
Mittel
Nein
Ja
PRODSECBUG-2957
CVE-2021-28584
Validierung ungültiger Eingaben
Umgehung der Sicherheitsfunktionen
Mittel
Nein
Nein MC-39885
CVE-2021-28585
Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Zusätzliche technische Beschreibungen der in diesem Dokument genannten CVEs werden auf den MITRE- und NVD-Webseiten bereitgestellt.

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto – Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online