Bulletin-id
Beveiligingsupdates beschikbaar voor Adobe Commerce | APSB21-64
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB21-64 |
11 augustus 2021 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Adobe Commerce- en Magento Open Source-edities.Deze updates verhelpen kritieke en belangrijke kwetsbaarheden. Succesvolle exploitatie kan tot uitvoering van willekeurige code leiden.
Van toepassing op de volgende versies
Product | Versie | Platform |
---|---|---|
Adobe Commerce |
2.4.2 en eerdere versies |
Alles |
2.4.2-p1 en eerdere versies |
Alles | |
2.3.7 en eerdere versies |
Alles |
|
Magento Open Source |
2.4.2-p1 en eerdere versies |
Alles |
2.3.7 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Releaseopmerkingen |
---|---|---|---|---|
Adobe Commerce |
2.4.3 |
Alles |
2 |
|
2.4.2-p2 |
Alles |
2 |
||
2.3.7-p1 |
Alles |
2 |
||
Magento Open Source |
2.4.3 |
Alles |
2 |
|
2.4.2-p2 |
Alles | 2 | ||
2.3.7-p1 |
Alles |
2 |
Details van kwetsbaarheid
Categorie van kwetsbaarheid | Impact van kwetsbaarheid | Ernst | Verificatie vooraf? | Beheerdersrechten vereist? |
CVSS-basisscore |
CVSS-vector |
Magento Bug ID | CVE-nummers |
---|---|---|---|---|---|---|---|---|
Fouten met bedrijfslogica (CWE-840) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Onjuist toegangsbeheer (CWE-284) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Onjuiste autorisatie (CWE-285) |
Omzeiling van beveiligingsfunctie |
Kritiek |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Onjuiste autorisatie (CWE-285) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Onjuiste invoervalidatie (CWE-20) |
Application denial-of-service |
Kritiek |
Nee |
no |
7,5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Onjuiste invoervalidatie (CWE-20) |
Bevoegdhedenescalatie |
Kritiek |
ja |
no |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Onjuiste invoervalidatie (CWE-20) |
Omzeiling van beveiligingsfunctie |
Kritiek |
no |
no |
7,5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Onjuiste invoervalidatie (CWE-20) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Onjuiste invoervalidatie (CWE-20) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Path traversal (CWE-22) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
Injectie van besturingssysteemopdrachten (CWE-78) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Onjuiste autorisatie (CWE-863) |
Lezen van willekeurige bestandssystemen |
Belangrijk |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Server-Side Request Forgery (SSRF) (CWE-918) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML-injectie (ook bekend als Blind XPath-injectie) (CWE-91) |
Willekeurige code-uitvoering |
Kritiek |
no |
no |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML-injectie (ook bekend als Blind XPath-injectie) (CWE-91) |
Willekeurige code-uitvoering |
Kritiek |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Trivani Pant namens Broadway Photo Supply Limited (CVE-2021-36020)
Revisies
13 augustus 2021: Magento/Magento Commerce bijgewerkt met Adobe Commerce.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.