Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB21-30

Référence du bulletin

Date de publication

Priorité 

ASPB30-21

11 mai 2021      

2

Récapitulatif

Une exploitation réussie pourrait conduire à un accès non autorisé à des ressources restreintes. Magento a publié des mises à jour pour les éditions Magento Commerce et Magento Open Source.Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

Versions concernées

Produit Version  Plate-forme

Magento Commerce 
2.4.2 et versions antérieures  
Toutes
2.4.1-p1 et versions antérieures  
Toutes
2.3.6-p1 et versions antérieures 
Toutes
Magento Open Source 

2.4.2 et versions antérieures
Toutes
2.4.1-p1 et versions antérieures
Toutes
2.3.6-p1 et versions antérieures 
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité Notes de mise à jour
Magento Commerce 2.4.2-p1
Toutes
2

Notes de mise à jour 2.4.x

Notes de mise à jour 2.3.x

2.3.7 Toutes
2
Magento Open Source 
2.4.2-p1
Toutes 2
2.3.7 Toutes
2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Pré-authentification ? Droits d’administration requis ?

ID de bogue Magento Références CVE
Divulgation d’informations 
Divulgation du chemin racine du document 
Modéré
Non
Oui
PRODSECBUG-2927
CVE-2021-28566
Autorisation incorrecte 
Modification non autorisée de données client  Modéré 
 
Non
Oui PRODSECBUG-2931
CVE-2021-28567
Cross-site scripting (XSS basé sur le DOM)
Exécution arbitraire de code JavaScript dans le navigateur
Importante
Oui Non PRODSECBUG-2918
CVE-2021-28556
Autorisation incorrecte
Accès non autorisé aux ressources restreintes
Modéré
Non
Oui
PRODSECBUG-2935
CVE-2021-28563
Violation des principes de design sécurisé
Accès non autorisé aux ressources restreintes
Modéré 
Non
Oui
PRODSECBUG-2943
CVE-2021-28583
Path traversal
Écriture arbitraire dans le système de fichiers
Modéré
Non
Oui
PRODSECBUG-2957
CVE-2021-28584
Validation en entrée incorrecte
Contournement des fonctions de sécurité
Modéré
Non
Non MC-39885
CVE-2021-28585
Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

D’autres descriptions techniques concernant les CVE spécifiées dans ce document seront disponibles sur les sites MITRE et NVD.

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?