Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Commerce | APSB21-64

Bulletin-ID

Udgivelsesdato

Prioritet

APSB21-64

11. august 2021      

2

Resumé

Magento har frigivet sikkerhedsopdateringer til Adobe Commerce og Magento Open Source. Disse opdateringer løser sikkerhedsproblemer, der klassificeres som kritiske og vigtige. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.

Berørte versioner

Produkt Version Platform
Adobe Commerce
2.4.2 og tidligere versioner  
Alle
2.4.2-p1 og tidligere versioner  
Alle
2.3.7 og tidligere versioner 
Alle
Magento Open Source 

2.4.2-p1 og tidligere versioner
Alle
2.3.7 og tidligere versioner
Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt Opdateret version Platform Prioritetsgrad Produktbemærkninger
Adobe Commerce
2.4.3  
Alle
2

2.4.x Produktbemærkninger

2.3.x Produktbemærkninger

2.4.2-p2
Alle
2
2.3.7-p1
Alle
2
Magento Open Source 
2.4.3
Alle
2
2.4.2-p2
Alle 2
2.3.7-p1 
Alle
2

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Forhåndsgodkendelse? Administratorrettigheder påkrævet?

CVSS-basisscore
CVSS-vektor
Magento Bug ID CVE-numre
Business Logic-fejl (CWE-840)

Sikkerhedsomgåelse

 Vigtig

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Cross-site scripting (lagret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Ukorrekt adgangskontrol (CWE-284)

Vilkårlig kodekørsel

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Ukorrekt autorisation (CWE-285)

Sikkerhedsomgåelse

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Ukorrekt autorisation (CWE-285)

Sikkerhedsomgåelse

Vigtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Ukorrekt input-validering (CWE-20)

Denial-of-service for applikation

Kritisk

Nej

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Ukorrekt input-validering (CWE-20)

Eskalering af rettigheder

Kritisk

ja

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Ukorrekt input-validering (CWE-20)

Sikkerhedsomgåelse

Kritisk

no

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Ukorrekt input-validering (CWE-20)

Sikkerhedsomgåelse

Vigtig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Ukorrekt input-validering (CWE-20)

Vilkårlig kodekørsel

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Stioverskridelse

(CWE-22)

Vilkårlig kodekørsel

Kritisk

ja

ja

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

OS-kommandoinjektion (CWE-78)

Vilkårlig kodekørsel

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Ukorrekt autorisation (CWE-863)

Vilkårlig filsystem-læsning

Vigtig

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Server-Side Request Forgery (SSRF)

(CWE-918)

Vilkårlig kodekørsel

Kritisk

ja

ja

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML-injektion

(også kaldet Blind XPath-injektion) (CWE-91)

Vilkårlig kodekørsel

Kritisk

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML-injektion

(også kaldet Blind XPath-injektion) (CWE-91)

Vilkårlig kodekørsel

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant på vegne af Broadway Photo Supply Limited (CVE-2021-36020)

 

Revisioner

13 august 2021: Magento/Magento Commerce er blevet opdateret med Adobe Commerce. 

 


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online