Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Commerce | APSB21-64

ID del boletín

Fecha de publicación

Prioridad

APSB21-64

martes, 11 de agosto de 2021      

2

Resumen

Magento ha publicado actualizaciones para sus ediciones Adobe Commerce y Magento Open Source. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas e importantes. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.

Versiones afectadas

Producto Versión Plataforma
Adobe Commerce
2.4.2 y versiones anteriores  
Todas
2.4.2-p1 y versiones anteriores  
Todas
2.3.7 y versiones anteriores 
Todas
Magento Open Source 

2.4.2-p1 y versiones anteriores
Todas
2.3.7 y versiones anteriores
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Prioridad Nivel Notas de la versión
Adobe Commerce
2.4.3  
Todas
2

Notas de la versión 2.4.x

Notas de la versión 2.3.x

2.4.2-p2
Todas
2
2.3.7-p1
Todas
2
Magento Open Source 
2.4.3  
Todas
2
2.4.2-p2
Todas 2
2.3.7-p1 
Todas
2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Autenticación previa? ¿Se requieren privilegios administrativos?

Puntuación base CVSS
Vector CVSS
ID del error de Magento Números CVE
Errores de lógica empresarial (CWE-840)

Omisión de la función de seguridad

 Importante

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)

Ejecución de código arbitraria

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Control de acceso incorrecto (CWE-284)

Ejecución de código arbitraria

Crítico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Autorización incorrecta (CWE-285)

Omisión de la función de seguridad

Crítico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Autorización incorrecta (CWE-285)

Omisión de la función de seguridad

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Validación incorrecta de la entrada (CWE-20)

Denegación de servicio de la aplicación

Crítico

No

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Validación incorrecta de la entrada (CWE-20)

Escalada de privilegios

Crítico

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Validación incorrecta de la entrada (CWE-20)

Omisión de la función de seguridad

Crítico

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Validación incorrecta de la entrada (CWE-20)

Omisión de la función de seguridad

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Validación incorrecta de la entrada (CWE-20)

Ejecución de código arbitraria

Crítico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Path traversal

(CWE-22)

Ejecución de código arbitraria

Crítico

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Inyección de comandos del sistema operativo (CWE-78)

Ejecución de código arbitraria

Crítico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Autorización incorrecta (CWE-863)

Lectura arbitraria del sistema de archivos

Importante

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Falsificación de solicitud del servidor (SSRF)

(CWE-918)

Ejecución de código arbitraria

Crítico

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

Inyección XML

(También conocido como Inyección ciega de XPath) (CWE-91)

Ejecución de código arbitraria

Crítico

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

Inyección XML

(También conocido como Inyección ciega de XPath) (CWE-91)

Ejecución de código arbitraria

Crítico

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant en nombre de Broadway Photo Supply Limited (CVE-2021-36020)

 

Revisiones

13 de agosto de 2021: Se actualizó Magento/Magento Commerce con Adobe Commerce. 

 


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX

The Creativity Conference

Del 14 al 16 de octubre en Miami Beach y en línea