Adobe 安全公告

可用于 Magento 的安全更新 | APSB21-30

公告 ID

发布日期

优先级

ASPB30-21

2021 年 5 月 11 日      

2

摘要

如果成功利用这些漏洞,可能会导致未经授权访问受限资源。Magento 发布了 Magento Commerce 和 Magento Open Source 版本的更新。这些更新解决了一些重要关键的漏洞。如果成功利用这些漏洞,可能会导致任意代码执行。

受影响的版本

产品 版本 平台

Magento Commerce 
 2.4.2 及更早版本  
 全部
2.4.1-p1 及更早版本  
 全部
2.3.6-p1 及更早版本 
 全部
Magento Open Source 

 2.4.2 及更早版本
 全部
2.4.1-p1 及更早版本
 全部
2.3.6-p1 及更早版本 
 全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 发行说明
Magento Commerce 2.4.2-p1
 全部
 2

2.4.x 发行说明

2.3.x 发行说明
2.3.7 全部
 2
Magento Open Source 
 2.4.2-p1
 全部 2
2.3.7 全部
 2

漏洞详情

漏洞类别 漏洞影响 严重性 预身份验证? 需要管理员权限?

 Magento 错误 ID CVE 编号
信息泄露 
 文档根路径泄露 
 中等

PRODSECBUG-2927
 CVE-2021-28566
不正确的授权 
 未经授权修改客户数据 中等 
 
PRODSECBUG-2931
 CVE-2021-28567
跨站点脚本(基于 DOM)
 浏览器中的任意 JavaScript 执行
 重要
 PRODSECBUG-2918
 CVE-2021-28556
不正确的授权
 未经授权访问受限资源
 中等

PRODSECBUG-2935
 CVE-2021-28563
违反安全设计原则
 未经授权访问受限资源
 中等 

PRODSECBUG-2943
 CVE-2021-28583
路径遍历
 任意文件系统写入
 中等

PRODSECBUG-2957
 CVE-2021-28584
不当的输入验证
 安全功能旁路
 中等
MC-39885
 CVE-2021-28585
注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。 

关于本文档引用的 CVE 的其他技术说明,将会在 MITRENVD 网站上提供。

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • Kien Hoang (CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接

Copyright © 2024 Adobe。保留所有权利。