Adobe-Sicherheitsbulletin

Sicherheits-Updates für Adobe Commerce verfügbar | APSB21-64

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB21-64

11. August 2021      

2

Zusammenfassung

Magento hat Updates für Adobe Commerce- und Magento Open Source-Editionen veröffentlicht. Diese Updates schließen Schwachstellen, die als kritisch und wichtig eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.       

Betroffene Versionen

Produkt Version Plattform
Adobe Commerce
2.4.2 und frühere Versionen  
Alle
2.4.2-p1 und frühere Versionen  
Alle
2.3.7 und frühere Versionen 
Alle
Magento Open Source 

2.4.2-p1 und frühere Versionen
Alle
2.3.7 und frühere Versionen   
Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Versionshinweise
Adobe Commerce
2.4.3  
Alle
2

2.4.x – Versionshinweise

2.3.x – Versionshinweise

2.4.2-p2
Alle
2
2.3.7-p1
Alle
2
Magento Open Source 
2.4.3  
Alle
2
2.4.2-p2
Alle 2
2.3.7-p1 
Alle
2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Vorauthentifizierung? Sind Administratorrechte erforderlich?

CVSS-Basispunktzahl
CVSS-Vektor
Magento-Fehler-ID CVE-Nummern
Business-Logikfehler (CWE-840)

Umgehung der Sicherheitsfunktionen

 Wichtig

Ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Cross-Site-Scripting (beständiges XSS) (CWE-79)

Willkürliche Ausführung von Code

Wichtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Unzulässige Zugriffskontrolle (CWE-284)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Unzulässige Autorisierung (CWE-285)

Umgehung der Sicherheitsfunktionen

Kritisch

Ja

Ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Unzulässige Autorisierung (CWE-285)

Umgehung der Sicherheitsfunktionen

Wichtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Unangemessene Eingabevalidierung (CWE-20)

Denial-of-Service-Angriff auf Anwendungsebene

Kritisch

Nein

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Unangemessene Eingabevalidierung (CWE-20)

Berechtigungsausweitung

Kritisch

Ja

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Unangemessene Eingabevalidierung (CWE-20)

Umgehung der Sicherheitsfunktionen

Kritisch

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Unangemessene Eingabevalidierung (CWE-20)

Umgehung der Sicherheitsfunktionen

Wichtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Unangemessene Eingabevalidierung (CWE-20)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Path Traversal

(CWE-22)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

OS-Befehlsinjektion (CWE-78)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Falsche Autorisierung (CWE-863)

Willkürlicher Dateisystem-Lesezugriff

Wichtig

Ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Server-Side Request Forgery (SSRF)

(CWE-918)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML-Injektion

(auch Blind XPath-Injektion) (CWE-91)

Willkürliche Ausführung von Code

Kritisch

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML-Injektion

(auch Blind XPath-Injektion) (CWE-91)

Willkürliche Ausführung von Code

Kritisch

Ja

Ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant im Auftrag von Broadway Photo Supply Limited (CVE-2021-36020)

 

Historie

13. August 2021: Magento/Magento Commerce mit Adobe Commerce aktualisiert. 

 


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX
Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online

Adobe MAX

Die Konferenz für Kreative

14. bis 16. Oktober in Miami Beach und online