Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Magento | APSB21-30

Bulletin-id

Publicatiedatum

Prioriteit

ASPB30-21

11 mei 2021      

2

Samenvatting

Misbruik van deze kwetsbaarheden kan leiden tot ongeautoriseerde toegang tot de beperkte bronnen. Magento heeft updates uitgebracht voor Magento Commerce- en Magento Open Source-edities.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product Versie Platform

Magento Commerce 
2.4.2 en eerdere versies  
Alles
2.4.1-p1 en eerdere versies  
Alles
2.3.6-p1 en eerdere versies 
Alles
Magento Open Source 

2.4.2 en eerdere versies
Alles
2.4.1-p1 en eerdere versies
Alles
2.3.6-p1 en eerdere versies 
Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Releaseopmerkingen
Magento Commerce 2.4.2-p1
Alles
2

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x

2.3.7 Alles
2
Magento Open Source 
2.4.2-p1
Alles 2
2.3.7 Alles
2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

Magento Bug ID CVE-nummers
Openbaarmaking van informatie 
Openbaarmaking van pad documentoorsprong 
Matig
Nee
Ja
PRODSECBUG-2927
CVE-2021-28566
Onjuiste autorisatie 
Ongeautoriseerde wijziging van klantengegevens  Gemiddeld 
 
Nee
Ja PRODSECBUG-2931
CVE-2021-28567
Scripts die verwijzen naar andere sites (DOM-gebaseerd)
Arbitraire uitvoering van JavaScript in de browser
Belangrijk
Ja Nee PRODSECBUG-2918
CVE-2021-28556
Onjuiste autorisatie
Ongeautoriseerde toegang tot beperkte bronnen
Matig
Nee
Ja
PRODSECBUG-2935
CVE-2021-28563
Schending van de principes van Secure Design
Ongeautoriseerde toegang tot beperkte bronnen
Matig 
Nee
Ja
PRODSECBUG-2943
CVE-2021-28583
Path traversal
Schrijven van willekeurige bestandssystemen
Matig
Nee
Ja
PRODSECBUG-2957
CVE-2021-28584
Onjuiste invoervalidatie
Omzeiling van beveiligingsfunctie
Matig
Nee
Nee MC-39885
CVE-2021-28585
Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Adobe-logo

Aanmelden bij je account