Adoben tietoturvatiedote

Magenton tietoturvapäivitykset | APSB21-30

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB30-21

11. toukokuuta 2021

2

Yhteenveto

Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa rajoitettujen resurssien luvattomaan käyttöön Magento on julkaissut päivityksiä Magento Commerce - ja Magento Open Source -versioita varten.Nämä päivitykset ratkaisevat tärkeitä ja kohtalaiset haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.    

Versiot

Tuote Versio Ympäristö

Magento Commerce 
2.4.2 ja aiemmat versiot  
Kaikki
2.4.1-p1 ja aiemmat versiot  
Kaikki
2.3.6-p1 ja aiemmat versiot 
Kaikki
Magento Open Source 

2.4.2 ja aiemmat versiot
Kaikki
2.4.1-p1 ja aiemmat versiot
Kaikki
2.3.6-p1 ja aiemmat versiot 
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Julkaisutiedot
Magento Commerce 2.4.2-p1
Kaikki
2

Version 2.4.x julkaisutiedot

Version 2.3.x julkaisutiedot

2.3.7 Kaikki
2
Magento Open Source 
2.4.2-p1
Kaikki 2
2.3.7 Kaikki
2

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Esitodennus? Tarvitaan järjestelmänvalvojan oikeudet?

Magenton ohjelmavirheen tunnus CVE-numerot
Tietojen paljastuminen 
Dokumentin pääpolun paljastaminen 
Kohtalainen
Ei
Kyllä
PRODSECBUG-2927
CVE-2021-28566
Virheellinen valtuutus 
Asiakkaan tietojen luvaton muutos Kohtalainen 
 
Ei
Kyllä PRODSECBUG-2931
CVE-2021-28567
Sivustojen välinen skriptaus (DOM-pohjainen)
Mielivaltainen JavaScriptin suoritus selaimessa
Tärkeä
Kyllä Ei PRODSECBUG-2918
CVE-2021-28556
Virheellinen valtuutus
Rajoitettujen resurssien luvaton käyttö
Kohtalainen
Ei
Kyllä
PRODSECBUG-2935
CVE-2021-28563
Turvallisten suunnitteluperiaatteiden rikkomus
Rajoitettujen resurssien luvaton käyttö
Kohtalainen 
Ei
Kyllä
PRODSECBUG-2943
CVE-2021-28583
Polun vaihtuminen
Mielivaltainen tiedostojärjestelmään kirjoitus
Kohtalainen
Ei
Kyllä
PRODSECBUG-2957
CVE-2021-28584
Virheellinen syötteen tarkistus
Tietoturvaominaisuuden ohitus
Kohtalainen
Ei
Ei MC-39885
CVE-2021-28585
Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Tässä dokumentissa viitattuihin CVE-artikkeleihin on saatavilla ylimääräisiä teknisiä kuvauksia MITRE- ja NVD-sivustoissa.

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?