Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Commerce | APSB21-64

Référence du bulletin

Date de publication

Priorité 

APSB21-64

11 août 2021      

2

Récapitulatif

Magento a publié des mises à jour pour les éditions Adobe Commerce et Magento Open Source. Ces mises à jour corrigent des vulnérabilités jugées critiques et importantes. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.       

Versions concernées

Produit Version  Plate-forme
Adobe Commerce
2.4.2 et versions antérieures  
Toutes
2.4.2-p1 et versions antérieures  
Toutes
2.3.7 et versions antérieures 
Toutes
Magento Open Source 

2.4.2-p1 et versions antérieures
Toutes
2.3.7 et versions antérieures   
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité Notes de mise à jour
Adobe Commerce
2.4.3  
Toutes
2

Notes de mise à jour 2.4.x

Notes de mise à jour 2.3.x

2.4.2-p2
Toutes
2
2.3.7-p1
Toutes
2
Magento Open Source 
2.4.3  
Toutes
2
2.4.2-p2
Toutes 2
2.3.7-p1 
Toutes
2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Pré-authentification ? Droits d’administration requis ?

Score de base CVSS
Vecteur CVSS
ID de bogue Magento Références CVE
Erreurs logiques commerciales (CWE-840)

Contournement des fonctions de sécurité

 Importante

Oui

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Cross-site scripting (XSS stocké) (CWE-79)

Exécution de code arbitraire

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Contrôle d’accès incorrect (CWE-284)

Exécution de code arbitraire

Critique

Oui

Oui

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Autorisation incorrecte (CWE-285)

Contournement des fonctions de sécurité

Critique

Oui

Oui

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Autorisation incorrecte (CWE-285)

Contournement des fonctions de sécurité

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Validation d’entrée incorrecte (CWE-20)

Déni de service d’application

Critique

Non

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Validation d’entrée incorrecte (CWE-20)

Réaffectation de privilèges

Critique

Oui

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Validation d’entrée incorrecte (CWE-20)

Contournement des fonctions de sécurité

Critique

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Validation d’entrée incorrecte (CWE-20)

Contournement des fonctions de sécurité

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Validation d’entrée incorrecte (CWE-20)

Exécution de code arbitraire

Critique

Oui

Oui

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Path Traversal

(CWE-22)

Exécution de code arbitraire

Critique

Oui

Oui

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Injection de commande du système d’exploitation (CWE-78)

Exécution de code arbitraire

Critique

Oui

Oui

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Autorisation incorrecte (CWE-863)

Lecture arbitraire dans le système de fichiers

Importante

Oui

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Usurpation de requête côté serveur (SSRF)

(CWE-918)

Exécution de code arbitraire

Critique

Oui

Oui

8 avril

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

Injection de XML

(également appelée injection XPath en aveugle) (CWE-91)

Exécution de code arbitraire

Critique

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

Injection de XML

(également appelée injection XPath en aveugle) (CWE-91)

Exécution de code arbitraire

Critique

Oui

Oui

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant au nom de Broadway Photo Supply Limited (CVE-2021-36020)

 

Révisions

13 août 2021 : Magento/Magento Commerce ont été remplacés par Adobe Commerce. 

 


Pour plus d’informations, visitez /content/help/fr/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

Logo Adobe

Accéder à votre compte

[Feedback V2 Badge]