Bulletin-ID
Sicherheits-Updates für Adobe Commerce verfügbar | APSB21-64
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB21-64 |
11. August 2021 |
2 |
Zusammenfassung
Betroffene Versionen
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce |
2.4.2 und frühere Versionen |
Alle |
2.4.2-p1 und frühere Versionen |
Alle | |
2.3.7 und frühere Versionen |
Alle |
|
Magento Open Source |
2.4.2-p1 und frühere Versionen |
Alle |
2.3.7 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt | Aktualisierte Version | Plattform | Priorität | Versionshinweise |
---|---|---|---|---|
Adobe Commerce |
2.4.3 |
Alle |
2 |
|
2.4.2-p2 |
Alle |
2 |
||
2.3.7-p1 |
Alle |
2 |
||
Magento Open Source |
2.4.3 |
Alle |
2 |
|
2.4.2-p2 |
Alle | 2 | ||
2.3.7-p1 |
Alle |
2 |
Sicherheitslückendetails
Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Vorauthentifizierung? | Sind Administratorrechte erforderlich? |
CVSS-Basispunktzahl |
CVSS-Vektor |
Magento-Fehler-ID | CVE-Nummern |
---|---|---|---|---|---|---|---|---|
Business-Logikfehler (CWE-840) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
Ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Unzulässige Zugriffskontrolle (CWE-284) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
Ja |
Ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Unzulässige Autorisierung (CWE-285) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Unangemessene Eingabevalidierung (CWE-20) |
Denial-of-Service-Angriff auf Anwendungsebene |
Kritisch |
Nein |
no |
7,5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Unangemessene Eingabevalidierung (CWE-20) |
Berechtigungsausweitung |
Kritisch |
Ja |
no |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Unangemessene Eingabevalidierung (CWE-20) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
no |
no |
7,5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Unangemessene Eingabevalidierung (CWE-20) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Path Traversal (CWE-22) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
OS-Befehlsinjektion (CWE-78) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Falsche Autorisierung (CWE-863) |
Willkürlicher Dateisystem-Lesezugriff |
Wichtig |
Ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Server-Side Request Forgery (SSRF) (CWE-918) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML-Injektion (auch Blind XPath-Injektion) (CWE-91) |
Willkürliche Ausführung von Code |
Kritisch |
no |
no |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML-Injektion (auch Blind XPath-Injektion) (CWE-91) |
Willkürliche Ausführung von Code |
Kritisch |
Ja |
Ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.
Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Trivani Pant im Auftrag von Broadway Photo Supply Limited (CVE-2021-36020)
Historie
13. August 2021: Magento/Magento Commerce mit Adobe Commerce aktualisiert.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.