Adobe 安全性公告

發佈 Magento 的安全性更新 | APSB21-30

安全性公告 ID

發佈日期

優先順序

ASPB30-21

2021 年 5 月 11 日

2

摘要

這些弱點一旦遭到利用,可能會導致有心人士未經授權擅自存取受限制的資源。Magento 已發佈 Magento Commerce 與 Magento Open Source 版本的更新。這些更新旨在解決多項重要中等弱點。這些弱點一旦遭有心人士利用,可能會導致系統執行任意程式碼。

受影響的版本

產品 版本 平台

Magento Commerce 
2.4.2 (含) 以前版本
全部
2.4.1-p1 (含) 以前版本  
全部
2.3.6-p1 (含) 以前版本 
全部
Magento Open Source 

2.4.2 (含) 以前版本
全部
2.4.1-p1 (含) 以前版本
全部
2.3.6-p1 (含) 以前版本 
全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。

產品 已更新的版本 平台 優先順序分級 發行說明
Magento Commerce 2.4.2-p1
全部
2

2.4.x 發行說明

2.3.x 發行說明

2.3.7 全部
2
Magento Open Source 
2.4.2-p1
全部 2
2.3.7 全部
2

弱點詳細資料

弱點類別 弱點影響 嚴重性 需預先驗證身分? 需有管理員權限?

Magento 錯誤 ID CVE 編號
資訊洩漏 
揭露文件根路徑 
中度


PRODSECBUG-2927
CVE-2021-28566
不當授權 
未經授權擅自修改客戶資料 中度 
 

PRODSECBUG-2931
CVE-2021-28567
跨網站指令碼 (DOM 型)
在瀏覽器中任意執行 JavaScript
重要
PRODSECBUG-2918
CVE-2021-28556
不當授權
未經授權逕自存取受限制的資源
中度


PRODSECBUG-2935
CVE-2021-28563
違反安全設計原則
未經授權逕自存取受限制的資源
中度 


PRODSECBUG-2943
CVE-2021-28583
造訪路徑
檔案系統任意寫入
中度


PRODSECBUG-2957
CVE-2021-28584
不當的輸入驗證
安全功能無故略過
中度

MC-39885
CVE-2021-28585
註解:

預先驗證身分:不需憑證即可利用弱點。   

需有管理員權限:只有擁有管理權限的攻擊者可以利用弱點。 

您可前往 MITRENVD 網站查看本文件提及的其他 CVE 技術說明。

鳴謝

Adobe 在此感謝以下人員提報相關問題,與 Adobe 共同保護客戶:

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

更快、更輕鬆地獲得協助

新的使用者?

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上