Boletim de segurança da Adobe

Atualizações de segurança disponíveis para Magento | APSB21-30

ID do boletim

Data de publicação

Prioridade

ASPB30-21

11 de maio de 2021      

2

Resumo

Uma exploração bem sucedida poderá conduzir a um acesso não autorizado a recursos restritos. A Magento lançou atualizações para as edições do Magento Commerce e do Magento Open Source.Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.    

Versões afetadas

Produto Versão Plataforma

Magento Commerce 
2.4.2 e versões anteriores  
Todos
2.4.1-p1 e versões anteriores  
Todos
2.3.6-p1 e versões anteriores 
Todos
Magento Open Source 

2.4.2 e versões anteriores
Todos
2.4.1-p1 e versões anteriores
Todos
2.3.6-p1 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Notas de versão
Magento Commerce 2.4.2-p1
Todos
2

Notas de versão 2.4.x

Notas de versão 2.3.x

2.3.7 Todos
2
Magento Open Source 
2.4.2-p1
Todos 2
2.3.7 Todos
2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pré-autenticação? Privilégios de administrador necessários?

ID de Bug do Magento Números CVE
Divulgação de informações 
Divulgação do caminho raiz do documento 
Moderado
Não
Sim
PRODSECBUG-2927
CVE-2021-28566
Autorização indevida 
Modificação não autorizada de dados de clientes  Moderado 
 
Não
Sim PRODSECBUG-2931
CVE-2021-28567
Criação de script entre sites (baseado em DOM)
Execução arbitrária de JavaScript no navegador
Importante
Sim Não PRODSECBUG-2918
CVE-2021-28556
Autorização indevida
Acesso não autorizado a recursos restritos
Moderado
Não
Sim
PRODSECBUG-2935
CVE-2021-28563
Violação dos princípios de concepção segura
Acesso não autorizado a recursos restritos
Moderado 
Não
Sim
PRODSECBUG-2943
CVE-2021-28583
Travessia de caminho
Gravação arbitrária do sistema de arquivos
Moderado
Não
Sim
PRODSECBUG-2957
CVE-2021-28584
Validação de entrada inadequada
Falha de recurso de segurança
Moderado
Não
Não MC-39885
CVE-2021-28585
Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.   

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.  

Descrições técnicas adicionais dos CVE mencionados neste documento serão disponibilizadas nos sites de MITRE e NVD.

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online