Bulletin-ID
Sidst opdateret den
24. aug. 2021
Sikkerhedsopdateringer til Adobe Commerce | APSB21-64
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB21-64 |
11. august 2021 |
2 |
Resumé
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.2 og tidligere versioner |
Alle |
| 2.4.2-p1 og tidligere versioner |
Alle | |
| 2.3.7 og tidligere versioner |
Alle |
|
| Magento Open Source |
2.4.2-p1 og tidligere versioner |
Alle |
| 2.3.7 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Produktbemærkninger |
|---|---|---|---|---|
| Adobe Commerce |
2.4.3 |
Alle |
2 |
|
| 2.4.2-p2 |
Alle |
2 |
||
| 2.3.7-p1 |
Alle |
2 |
||
| Magento Open Source |
2.4.3 |
Alle |
2 |
|
| 2.4.2-p2 |
Alle | 2 | ||
| 2.3.7-p1 |
Alle |
2 |
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Forhåndsgodkendelse? | Administratorrettigheder påkrævet? |
CVSS-basisscore |
CVSS-vektor |
Magento Bug ID | CVE-numre |
|---|---|---|---|---|---|---|---|---|
| Business Logic-fejl (CWE-840) |
Sikkerhedsomgåelse |
Vigtig |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Ukorrekt adgangskontrol (CWE-284) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Ukorrekt autorisation (CWE-285) |
Sikkerhedsomgåelse |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Ukorrekt autorisation (CWE-285) |
Sikkerhedsomgåelse |
Vigtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Ukorrekt input-validering (CWE-20) |
Denial-of-service for applikation |
Kritisk |
Nej |
no |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Ukorrekt input-validering (CWE-20) |
Eskalering af rettigheder |
Kritisk |
ja |
no |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Ukorrekt input-validering (CWE-20) |
Sikkerhedsomgåelse |
Kritisk |
no |
no |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Ukorrekt input-validering (CWE-20) |
Sikkerhedsomgåelse |
Vigtig |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Ukorrekt input-validering (CWE-20) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Stioverskridelse (CWE-22) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
OS-kommandoinjektion (CWE-78) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Ukorrekt autorisation (CWE-863) |
Vilkårlig filsystem-læsning |
Vigtig |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Server-Side Request Forgery (SSRF) (CWE-918) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML-injektion (også kaldet Blind XPath-injektion) (CWE-91) |
Vilkårlig kodekørsel |
Kritisk |
no |
no |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML-injektion (også kaldet Blind XPath-injektion) (CWE-91) |
Vilkårlig kodekørsel |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Bemærk:
Forhåndsgodkendelse: Sikkerhedsproblemet kan udnyttes uden logonoplysninger.
Administratorrettigheder er påkrævet: Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Trivani Pant på vegne af Broadway Photo Supply Limited (CVE-2021-36020)
Revisioner
13 august 2021: Magento/Magento Commerce er blevet opdateret med Adobe Commerce.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
