Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe Commerce | APSB21-64

Bulletin-id

Publicatiedatum

Prioriteit

APSB21-64

11 augustus 2021      

2

Samenvatting

Magento heeft updates uitgebracht voor Adobe Commerce- en Magento Open Source-edities.Deze updates verhelpen kritieke en belangrijke kwetsbaarheden. Succesvolle exploitatie kan tot uitvoering van willekeurige code leiden.       

Van toepassing op de volgende versies

Product Versie Platform
Adobe Commerce
2.4.2 en eerdere versies  
Alles
2.4.2-p1 en eerdere versies  
Alles
2.3.7 en eerdere versies 
Alles
Magento Open Source 

2.4.2-p1 en eerdere versies
Alles
2.3.7 en eerdere versies   
Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Releaseopmerkingen
Adobe Commerce
2.4.3  
Alles
2

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x

2.4.2-p2
Alles
2
2.3.7-p1
Alles
2
Magento Open Source 
2.4.3  
Alles
2
2.4.2-p2
Alles 2
2.3.7-p1 
Alles
2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

CVSS-basisscore
CVSS-vector
Magento Bug ID CVE-nummers
Fouten met bedrijfslogica (CWE-840)

Omzeiling van beveiligingsfunctie

 Belangrijk

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Cross-site scripting (opgeslagen XSS) (CWE-79)

Willekeurige code-uitvoering

Belangrijk

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Onjuist toegangsbeheer (CWE-284)

Willekeurige code-uitvoering

Kritiek

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Onjuiste autorisatie (CWE-285)

Omzeiling van beveiligingsfunctie

Kritiek

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Onjuiste autorisatie (CWE-285)

Omzeiling van beveiligingsfunctie

Belangrijk

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Onjuiste invoervalidatie (CWE-20)

Application denial-of-service

Kritiek

Nee

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Onjuiste invoervalidatie (CWE-20)

Bevoegdhedenescalatie

Kritiek

ja

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Onjuiste invoervalidatie (CWE-20)

Omzeiling van beveiligingsfunctie

Kritiek

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Onjuiste invoervalidatie (CWE-20)

Omzeiling van beveiligingsfunctie

Belangrijk

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Onjuiste invoervalidatie (CWE-20)

Willekeurige code-uitvoering

Kritiek

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Path traversal

(CWE-22)

Willekeurige code-uitvoering

Kritiek

ja

ja

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Injectie van besturingssysteemopdrachten (CWE-78)

Willekeurige code-uitvoering

Kritiek

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Onjuiste autorisatie (CWE-863)

Lezen van willekeurige bestandssystemen

Belangrijk

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Server-Side Request Forgery (SSRF)

(CWE-918)

Willekeurige code-uitvoering

Kritiek

ja

ja

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML-injectie

(ook bekend als Blind XPath-injectie) (CWE-91)

Willekeurige code-uitvoering

Kritiek

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML-injectie

(ook bekend als Blind XPath-injectie) (CWE-91)

Willekeurige code-uitvoering

Kritiek

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant namens Broadway Photo Supply Limited (CVE-2021-36020)

 

Revisies

13 augustus 2021: Magento/Magento Commerce bijgewerkt met Adobe Commerce. 

 


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online