Adobe 安全公告

可用于 Magento 的安全更新 | APSB21-30

公告 ID

发布日期

优先级

ASPB30-21

2021 年 5 月 11 日      

2

摘要

如果成功利用这些漏洞,可能会导致未经授权访问受限资源。Magento 发布了 Magento Commerce 和 Magento Open Source 版本的更新。这些更新解决了一些重要关键的漏洞。如果成功利用这些漏洞,可能会导致任意代码执行。

受影响的版本

产品 版本 平台

Magento Commerce 
2.4.2 及更早版本  
全部
2.4.1-p1 及更早版本  
全部
2.3.6-p1 及更早版本 
全部
Magento Open Source 

2.4.2 及更早版本
全部
2.4.1-p1 及更早版本
全部
2.3.6-p1 及更早版本 
全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 发行说明
Magento Commerce 2.4.2-p1
全部
2

2.4.x 发行说明

2.3.x 发行说明

2.3.7 全部
2
Magento Open Source 
2.4.2-p1
全部 2
2.3.7 全部
2

漏洞详情

漏洞类别 漏洞影响 严重性 预身份验证? 需要管理员权限?

Magento 错误 ID CVE 编号
信息泄露 
文档根路径泄露 
中等


PRODSECBUG-2927
CVE-2021-28566
不正确的授权 
未经授权修改客户数据 中等 
 

PRODSECBUG-2931
CVE-2021-28567
跨站点脚本(基于 DOM)
浏览器中的任意 JavaScript 执行
重要
PRODSECBUG-2918
CVE-2021-28556
不正确的授权
未经授权访问受限资源
中等


PRODSECBUG-2935
CVE-2021-28563
违反安全设计原则
未经授权访问受限资源
中等 


PRODSECBUG-2943
CVE-2021-28583
路径遍历
任意文件系统写入
中等


PRODSECBUG-2957
CVE-2021-28584
不当的输入验证
安全功能旁路
中等

MC-39885
CVE-2021-28585
注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。 

关于本文档引用的 CVE 的其他技术说明,将会在 MITRENVD 网站上提供。

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • Kien Hoang (CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上