Adoben tietoturvatiedote

Adobe Commercen tietoturvapäivitykset | APSB21-64

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-64

11. elokuuta 2021

2

Yhteenveto

Magento on julkaissut päivityksiä Adobe Commerce- ja Magento Open Source -versioita varten. Nämä päivitykset ratkaisevat kriittisiä ja tärkeitä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.

Versiot

Tuote Versio Ympäristö
Adobe Commerce
2.4.2 ja aiemmat versiot  
Kaikki
2.4.2-p1 ja aiemmat versiot  
Kaikki
2.3.7 ja aiemmat versiot 
Kaikki
Magento Open Source 

2.4.2-p1 ja aiemmat versiot
Kaikki
2.3.7 ja aiemmat versiot
Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Julkaisutiedot
Adobe Commerce
2.4.3  
Kaikki
2

Version 2.4.x julkaisutiedot

Version 2.3.x julkaisutiedot

2.4.2-p2
Kaikki
2
2.3.7-p1
Kaikki
2
Magento Open Source 
2.4.3  
Kaikki
2
2.4.2-p2
Kaikki 2
2.3.7-p1 
Kaikki
2

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Esitodennus? Tarvitaan järjestelmänvalvojan oikeudet?

CVSS-peruspisteet
CVSS-vektori
Magenton ohjelmavirheen tunnus CVE-numerot
Liiketoimintalogiikkavirheet (CWE-840)

Tietoturvaominaisuuden ohitus

 Tärkeä

kyllä

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79)

Mielivaltaisen koodin suoritus

Tärkeä

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Sopimaton käyttöoikeuksien valvonta (CWE-284)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Virheellinen valtuutus (CWE-285)

Tietoturvaominaisuuden ohitus

Kriittinen

kyllä

kyllä

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Virheellinen valtuutus (CWE-285)

Tietoturvaominaisuuden ohitus

Tärkeä

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Virheellinen syötteen tarkistus (CWE-20)

Sovelluksen palvelunesto

Kriittinen

Ei

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Virheellinen syötteen tarkistus (CWE-20)

Käyttöoikeuksien laajennus

Kriittinen

kyllä

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Virheellinen syötteen tarkistus (CWE-20)

Tietoturvaominaisuuden ohitus

Kriittinen

no

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Virheellinen syötteen tarkistus (CWE-20)

Tietoturvaominaisuuden ohitus

Tärkeä

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Virheellinen syötteen tarkistus (CWE-20)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Polun vaihtuminen

(CWE-22)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Käyttöjärjestelmäkomentojen syöttö (CWE-78)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Virheellinen valtuutus (CWE-863)

Mielivaltainen tiedostojärjestelmän luku

Tärkeä

kyllä

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Palvelinpuolen pyynnön väärennös (SSRF)

(CWE-918)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML-elementin lisäys

(kutsutaan myös nimellä Blind XPath Injection) (CWE-91)

Mielivaltaisen koodin suoritus

Kriittinen

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML-elementin lisäys

(kutsutaan myös nimellä Blind XPath Injection) (CWE-91)

Mielivaltaisen koodin suoritus

Kriittinen

kyllä

kyllä

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant Broadway Photo Supply Limitedin puolesta (CVE-2021-36020)

 

Versiot

13. elokuuta 2021: Päivitetty Magento / Magento Commerce Adobe Commercellä. 

 


Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?