Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro Magento | APSB21-30

ID bulletinu

Datum zveřejnění

Priorita

ASPB30-21

11. května 2021      

2

Shrnutí

Úspěšné zneužití by mohlo vést k neoprávněnému přístupu k omezeným prostředkům. Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako důležitékritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.    

Postižené verze

Produkt Verze Platforma

Magento Commerce 
2.4.2 a starší verze  
Vše
2.4.1-p1 a starší verze  
Vše
2.3.6-p1 a starší verze 
Vše
Magento Open Source 

2.4.2 a starší verze
Vše
2.4.1-p1 a starší verze 
Vše
2.3.6-p1 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt Aktualizovaná verze Platforma Úroveň priority Poznámky k verzi
Magento Commerce 2.4.2-p1
Vše
2

Poznámky k verzi 2.4.x

Poznámky k verzi 2.3.x

2.3.7 Vše
2
Magento Open Source 
2.4.2-p1
Vše 2
2.3.7 Vše
2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Předběžné ověření? Jsou vyžadována oprávnění správce?

ID chyby Magento Čísla CVE
Neoprávněné zveřejnění informací 
Zveřejnění cesty ke kořeni dokumentů 
Střední
Ne
Ano
PRODSECBUG-2927
CVE-2021-28566
Nesprávná autorizace 
Neoprávněná úprava dat zákazníků  Střední 
 
Ne
Ano PRODSECBUG-2931
CVE-2021-28567
Cross-site scripting (založený na DOM)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá
Ano Ne PRODSECBUG-2918
CVE-2021-28556
Nesprávná autorizace
Neoprávněný přístup k prostředkům s omezeným přístupem
Střední
Ne
Ano
PRODSECBUG-2935
CVE-2021-28563
Porušení principů bezpečného designu
Neoprávněný přístup k prostředkům s omezeným přístupem
Střední 
Ne
Ano
PRODSECBUG-2943
CVE-2021-28583
Průchod cestou
Nahodilý zápis do souborového systému
Střední
Ne
Ano
PRODSECBUG-2957
CVE-2021-28584
Nesprávné ověření vstupu
Obcházení bezpečnostních funkcí
Střední
Ne
Ne MC-39885
CVE-2021-28585
Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Další technické popisy chyb zabezpečení CVE uvedených v tomto dokumentu budou dostupné na webech MITRENVD.

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto – Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online