Adobe 安全公告

可用于 Adobe Commerce 的安全更新 | APSB21-64

公告 ID

发布日期

优先级

APSB21-64

2021 年 8 月 11 日

2

摘要

Magento 发布了 Adobe Commerce 和 Magento Open Source 版本的更新。这些更新解决了一些等级为关键重要的漏洞。如果成功利用这些漏洞,可能会导致任意代码执行。

受影响的版本

产品 版本 平台
Adobe Commerce
2.4.2 及更早版本  
全部
2.4.2-p1 及更早版本
全部
2.3.7 及更早版本
全部
Magento Open Source 

2.4.2-p1 及更早版本
全部
2.3.7 及更早版本
全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 发行说明
Adobe Commerce
2.4.3
全部
2

2.4.x 发行说明

2.3.x 发行说明

2.4.2-p2
全部
2
2.3.7-p1
全部
2
Magento Open Source 
2.4.3
全部
2
2.4.2-p2
全部 2
2.3.7-p1
全部
2

漏洞详情

漏洞类别 漏洞影响 严重性 预身份验证? 需要管理员权限?

CVSS 基础评分
CVSS 向量
Magento 错误 ID CVE 编号
业务逻辑错误 (CWE-840)

安全功能旁路

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

PRODSECBUG-2934

CVE-2021-36012

跨站点脚本(存储型 XSS)(CWE-79)

任意代码执行

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

不当的访问控制 (CWE-284)

任意代码执行

关键

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

不当的授权 (CWE-285)

安全功能旁路

关键

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

不当的授权 (CWE-285)

安全功能旁路

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

不当的输入验证 (CWE-20)

应用程序拒绝服务

关键

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

不当的输入验证 (CWE-20)

权限升级

关键

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

不当的输入验证 (CWE-20)

安全功能旁路

关键

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

PRODSECBUG-2969

CVE-2021-36030

不当的输入验证 (CWE-20)

安全功能旁路

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

不当的输入验证 (CWE-20)

任意代码执行

关键

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2959

PRODSECBUG-2960

PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

路径遍历

(CWE-22)

任意代码执行

关键

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

操作系统命令注入 (CWE-78)

任意代码执行

关键

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

不正确的授权 (CWE-863)

任意文件系统读取

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

服务器端请求伪造 (SSRF)

(CWE-918)

任意代码执行

关键

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML 注入

(又称为 XPath 盲注)(CWE-91)

任意代码执行

关键

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML 注入

(又称为 XPath 盲注)(CWE-91)

任意代码执行

关键

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。  

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • Blaklis(CVE-2021-36023、CVE-2021-36026、CVE-2021-36027、CVE-2021-36036、CVE-2021-36029、CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3(CVE-2021-36037、CVE-2021-36032、CVE-2021-36038、CVE-2021-36040、CVE-2021-36041、CVE-2021-36042、CVE-2021-36039、CVE-2021-36043、CVE-2021-36033、CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • 代表 Broadway Photo Supply Limited 的 Trivani Pant (CVE-2021-36020)

 

修订

2021 年 8 月 13 日:将 Magento/Magento Commerce 更新为 Adobe Commerce。

 


有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上