Tiedotteen tunnus
Magenton tietoturvapäivitykset | APSB21-30
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB30-21 |
11. toukokuuta 2021 |
2 |
Yhteenveto
Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa rajoitettujen resurssien luvattomaan käyttöön Magento on julkaissut päivityksiä Magento Commerce - ja Magento Open Source -versioita varten.Nämä päivitykset ratkaisevat tärkeitä ja kohtalaiset haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Versiot
Tuote | Versio | Ympäristö |
---|---|---|
Magento Commerce |
2.4.2 ja aiemmat versiot |
Kaikki |
2.4.1-p1 ja aiemmat versiot |
Kaikki | |
2.3.6-p1 ja aiemmat versiot |
Kaikki |
|
Magento Open Source |
2.4.2 ja aiemmat versiot |
Kaikki |
2.4.1-p1 ja aiemmat versiot |
Kaikki | |
2.3.6-p1 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Julkaisutiedot |
---|---|---|---|---|
Magento Commerce | 2.4.2-p1 |
Kaikki |
2 |
|
2.3.7 | Kaikki |
2 |
||
Magento Open Source |
2.4.2-p1 |
Kaikki | 2 | |
2.3.7 | Kaikki |
2 |
Lisätietoja haavoittuvuuksista
Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.
Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Tässä dokumentissa viitattuihin CVE-artikkeleihin on saatavilla ylimääräisiä teknisiä kuvauksia MITRE- ja NVD-sivustoissa.
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
- Kien Hoang (CVE-2021-28567)
- Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
- Charybdis (CVE-2021-28556)
- Igor Wulff (CVE-2021-28583)
- Derp47 (CVE-2021-28584)