Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Magento | APSB21-30

Bulletin-ID

Udgivelsesdato

Prioritet

ASPB30-21

11. maj 2021

2

Resumé

Udnyttelse af disse sikkerhedsproblemer kan uautoriseret adgang til begrænsede ressourcer. Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Magento Open Source.Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og beskedne. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.    

Berørte versioner

Produkt Version Platform

Magento Commerce 
2.4.2 og tidligere versioner  
Alle
2.4.1-p1 og tidligere versioner  
Alle
2.3.6-p1 og tidligere versioner 
Alle
Magento Open Source 

2.4.2 og tidligere versioner
Alle
2.4.1-p1 og tidligere versioner 
Alle
2.3.6-p1 og tidligere versioner 
Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt Opdateret version Platform Prioritetsgrad Produktbemærkninger
Magento Commerce 2.4.2-p1
Alle
2

2.4.x Produktbemærkninger

2.3.x Produktbemærkninger

2.3.7 Alle
2
Magento Open Source 
2.4.2-p1
Alle 2
2.3.7 Alle
2

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Forhåndsgodkendelse? Administratorrettigheder påkrævet?

Magento Bug ID CVE-numre
Afsløring af oplysninger 
Afsløring af dokumenters rodsti 
Moderat
Nej
Ja
PRODSECBUG-2927
CVE-2021-28566
Ukorrekt autorisation 
Uautoriseret ændring af kundedata Moderat 
 
Nej
Ja PRODSECBUG-2931
CVE-2021-28567
Cross-site scripting (DOM-baseret)
Kørsel af vilkårlig javascript-kode i browseren
Vigtig
Ja Nej PRODSECBUG-2918
CVE-2021-28556
Ukorrekt autorisation
Uautoriseret adgang til begrænsede ressourcer
Moderat
Nej
Ja
PRODSECBUG-2935
CVE-2021-28563
Overtrædelse af principperne for sikkert design
Uautoriseret adgang til begrænsede ressourcer
Moderat 
Nej
Ja
PRODSECBUG-2943
CVE-2021-28583
Stioverskridelse
Vilkårlig filsystem-skrivning
Moderat
Nej
Ja
PRODSECBUG-2957
CVE-2021-28584
Ukorrekt input-validering
Sikkerhedsomgåelse
Moderat
Nej
Nej MC-39885
CVE-2021-28585
Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Yderligere tekniske beskrivelser af de CVE'er, der henvises til i dette dokument, vil blive gjort tilgængelige på MITRE- og NVD-webstederne.

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online