公告 ID
上次更新日期:
2021年8月24日
可用于 Adobe Commerce 的安全更新 | APSB21-64
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB21-64 |
2021 年 8 月 11 日 |
2 |
摘要
受影响的版本
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Commerce |
2.4.2 及更早版本 |
全部 |
| 2.4.2-p1 及更早版本 |
全部 | |
| 2.3.7 及更早版本 |
全部 |
|
| Magento Open Source |
2.4.2-p1 及更早版本 |
全部 |
| 2.3.7 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。
| 产品 | 更新后的版本 | 平台 | 优先级 | 发行说明 |
|---|---|---|---|---|
| Adobe Commerce |
2.4.3 |
全部 |
2 |
|
| 2.4.2-p2 |
全部 |
2 |
||
| 2.3.7-p1 |
全部 |
2 |
||
| Magento Open Source |
2.4.3 |
全部 |
2 |
|
| 2.4.2-p2 |
全部 | 2 | ||
| 2.3.7-p1 |
全部 |
2 |
漏洞详情
| 漏洞类别 | 漏洞影响 | 严重性 | 预身份验证? | 需要管理员权限? |
CVSS 基础评分 |
CVSS 向量 |
Magento 错误 ID | CVE 编号 |
|---|---|---|---|---|---|---|---|---|
| 业务逻辑错误 (CWE-840) |
安全功能旁路 |
重要 |
是 |
否 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
否 |
否 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
不当的访问控制 (CWE-284) |
任意代码执行 |
关键 |
是 |
是 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
不当的授权 (CWE-285) |
安全功能旁路 |
关键 |
是 |
是 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
不当的授权 (CWE-285) |
安全功能旁路 |
重要 |
否 |
否 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
不当的输入验证 (CWE-20) |
应用程序拒绝服务 |
关键 |
否 |
否 |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
不当的输入验证 (CWE-20) |
权限升级 |
关键 |
是 |
否 |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
不当的输入验证 (CWE-20) |
安全功能旁路 |
关键 |
否 |
否 |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
不当的输入验证 (CWE-20) |
安全功能旁路 |
重要 |
否 |
否 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
不当的输入验证 (CWE-20) |
任意代码执行 |
关键 |
是 |
是 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
路径遍历 (CWE-22) |
任意代码执行 |
关键 |
是 |
是 |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
操作系统命令注入 (CWE-78) |
任意代码执行 |
关键 |
是 |
是 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
不正确的授权 (CWE-863) |
任意文件系统读取 |
重要 |
是 |
否 |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
服务器端请求伪造 (SSRF) (CWE-918) |
任意代码执行 |
关键 |
是 |
是 |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML 注入 (又称为 XPath 盲注)(CWE-91) |
任意代码执行 |
关键 |
否 |
否 |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML 注入 (又称为 XPath 盲注)(CWE-91) |
任意代码执行 |
关键 |
是 |
是 |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
注意:
预身份验证:无需凭据即可利用此漏洞。
需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。
鸣谢
Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:
- Blaklis(CVE-2021-36023、CVE-2021-36026、CVE-2021-36027、CVE-2021-36036、CVE-2021-36029、CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3(CVE-2021-36037、CVE-2021-36032、CVE-2021-36038、CVE-2021-36040、CVE-2021-36041、CVE-2021-36042、CVE-2021-36039、CVE-2021-36043、CVE-2021-36033、CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- 代表 Broadway Photo Supply Limited 的 Trivani Pant (CVE-2021-36020)
修订
2021 年 8 月 13 日:将 Magento/Magento Commerce 更新为 Adobe Commerce。
有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。
