Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Commerce | APSB21-64

ID bulletinu

Datum zveřejnění

Priorita

APSB21-64

11. srpna 2021      

2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Adobe Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jakodůležitékritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.       

Postižené verze

Produkt Verze Platforma
Adobe Commerce
2.4.2 a starší verze  
Vše
2.4.2-p1 a starší verze  
Vše
2.3.7 a starší verze 
Vše
Magento Open Source 

2.4.2-p1 a starší verze
Vše
2.3.7 a starší verze   
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt Aktualizovaná verze Platforma Úroveň priority Poznámky k verzi
Adobe Commerce
2.4.3  
Vše
2

Poznámky k verzi 2.4.x

Poznámky k verzi 2.3.x

2.4.2-p2
Vše
2
2.3.7-p1
Vše
2
Magento Open Source 
2.4.3  
Vše
2
2.4.2-p2
Vše 2
2.3.7-p1 
Vše
2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Předběžné ověření? Jsou vyžadována oprávnění správce?

Základní hodnocení CVSS
Vektor CVSS
ID chyby Magento Čísla CVE
Chyby obchodní logiky (CWE-840)

Obcházení bezpečnostních funkcí

 Důležitá

ano

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Skriptování mezi weby (uložený XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Nesprávné řízení přístupu (CWE-284)

Svévolné spuštění kódu

Kritická

ano

ano

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Neodpovídající ověření totožnosti (CWE-285)

Obcházení bezpečnostních funkcí

Kritická

ano

ano

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Neodpovídající ověření totožnosti (CWE-285)

Obcházení bezpečnostních funkcí

Důležitá

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Nesprávné ověření vstupu (CWE-20)

Útoky DoS na aplikace

Kritická

Ne

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Nesprávné ověření vstupu (CWE-20)

Eskalace oprávnění

Kritická

ano

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Nesprávné ověření vstupu (CWE-20)

Obcházení bezpečnostních funkcí

Kritická

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Nesprávné ověření vstupu (CWE-20)

Obcházení bezpečnostních funkcí

Důležitá

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Nesprávné ověření vstupu (CWE-20)

Svévolné spuštění kódu

Kritická

ano

ano

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Průchod cestou

(CWE-22)

Svévolné spuštění kódu

Kritická

ano

ano

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Vložení příkazu OS (CWE-78)

Svévolné spuštění kódu

Kritická

ano

ano

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Nesprávná autorizace (CWE-863)

Nahodilé čtení souborového systému

Důležitá

ano

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

SSRF (Server-Side Request Forgery)

(CWE-918)

Svévolné spuštění kódu

Kritická

ano

ano

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

Injekce XML

(tzv. injekce Blind XPath) (CWE-91)

Svévolné spuštění kódu

Kritická

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

Injekce XML

(tzv. injekce Blind XPath) (CWE-91)

Svévolné spuštění kódu

Kritická

ano

ano

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant za společnost Broadway Photo Supply Limited (CVE-2021-36020)

 

Verze

13. srpna 2021: aktualizace aplikace Magento/Magento Commerce o Adobe Commerce. 

 


Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online