Adobe sikkerhedsbulletin

Søg

Sidst opdateret den 10. sep. 2021 | Gælder også for Digital Editions

Sikkerhedsopdateringer til Magento | APSB21-30

Bulletin-ID	Udgivelsesdato	Prioritet
ASPB30-21	11. maj 2021	2

Resumé

Udnyttelse af disse sikkerhedsproblemer kan uautoriseret adgang til begrænsede ressourcer. Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Magento Open Source.Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og beskedne. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.

Berørte versioner

Produkt	Version	Platform
Magento Commerce	2.4.2 og tidligere versioner	Alle
	2.4.1-p1 og tidligere versioner	Alle
	2.3.6-p1 og tidligere versioner	Alle
Magento Open Source	2.4.2 og tidligere versioner	Alle
	2.4.1-p1 og tidligere versioner	Alle
	2.3.6-p1 og tidligere versioner	Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt	Opdateret version	Platform	Prioritetsgrad	Produktbemærkninger
Magento Commerce	2.4.2-p1	Alle	2	2.4.x Produktbemærkninger 2.3.x Produktbemærkninger
Magento Commerce	2.3.7	Alle	2
Magento Open Source	2.4.2-p1	Alle	2
Magento Open Source	2.3.7	Alle	2

Sikkerhedsoplysninger

Sikkerhedskategori	Virkning af sikkerhedsproblem	Alvorlighed	Forhåndsgodkendelse?	Administratorrettigheder påkrævet?	Magento Bug ID	CVE-numre
Afsløring af oplysninger	Afsløring af dokumenters rodsti	Moderat	Nej	Ja	PRODSECBUG-2927	CVE-2021-28566
Ukorrekt autorisation	Uautoriseret ændring af kundedata	Moderat	Nej	Ja	PRODSECBUG-2931	CVE-2021-28567
Cross-site scripting (DOM-baseret)	Kørsel af vilkårlig javascript-kode i browseren	Vigtig	Ja	Nej	PRODSECBUG-2918	CVE-2021-28556
Ukorrekt autorisation	Uautoriseret adgang til begrænsede ressourcer	Moderat	Nej	Ja	PRODSECBUG-2935	CVE-2021-28563
Overtrædelse af principperne for sikkert design	Uautoriseret adgang til begrænsede ressourcer	Moderat	Nej	Ja	PRODSECBUG-2943	CVE-2021-28583
Stioverskridelse	Vilkårlig filsystem-skrivning	Moderat	Nej	Ja	PRODSECBUG-2957	CVE-2021-28584
Ukorrekt input-validering	Sikkerhedsomgåelse	Moderat	Nej	Nej	MC-39885	CVE-2021-28585

Bemærk:

Forhåndsgodkendelse: Sikkerhedsproblemet kan udnyttes uden logonoplysninger.

Administratorrettigheder er påkrævet: Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.

Yderligere tekniske beskrivelser af de CVE'er, der henvises til i dette dokument, vil blive gjort tilgængelige på MITRE- og NVD-webstederne.

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Få hjælp hurtigere og nemmere

Ny bruger?