Adobe 安全性公告

搜尋

發佈 Magento 的安全性更新 | APSB21-30

安全性公告 ID

發佈日期

優先順序

ASPB30-21

2021 年 5 月 11 日

2

摘要

這些弱點一旦遭到利用,可能會導致有心人士未經授權擅自存取受限制的資源。Magento 已發佈 Magento Commerce 與 Magento Open Source 版本的更新。這些更新旨在解決多項重要中等弱點。這些弱點一旦遭有心人士利用,可能會導致系統執行任意程式碼。

受影響的版本

產品 版本 平台

Magento Commerce 
 2.4.2 (含) 以前版本
 全部
2.4.1-p1 (含) 以前版本  
 全部
2.3.6-p1 (含) 以前版本 
 全部
Magento Open Source 

 2.4.2 (含) 以前版本
 全部
2.4.1-p1 (含) 以前版本
 全部
2.3.6-p1 (含) 以前版本 
 全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。

產品 已更新的版本 平台 優先順序分級 發行說明
Magento Commerce 2.4.2-p1
 全部
 2

2.4.x 發行說明

2.3.x 發行說明
2.3.7 全部
 2
Magento Open Source 
 2.4.2-p1
 全部 2
2.3.7 全部
 2

弱點詳細資料

弱點類別 弱點影響 嚴重性 需預先驗證身分? 需有管理員權限?

 Magento 錯誤 ID CVE 編號
資訊洩漏 
 揭露文件根路徑 
 中度

PRODSECBUG-2927
 CVE-2021-28566
不當授權 
 未經授權擅自修改客戶資料 中度 
 
PRODSECBUG-2931
 CVE-2021-28567
跨網站指令碼 (DOM 型)
 在瀏覽器中任意執行 JavaScript
 重要
 PRODSECBUG-2918
 CVE-2021-28556
不當授權
 未經授權逕自存取受限制的資源
 中度

PRODSECBUG-2935
 CVE-2021-28563
違反安全設計原則
 未經授權逕自存取受限制的資源
 中度 

PRODSECBUG-2943
 CVE-2021-28583
造訪路徑
 檔案系統任意寫入
 中度

PRODSECBUG-2957
 CVE-2021-28584
不當的輸入驗證
 安全功能無故略過
 中度
MC-39885
 CVE-2021-28585
註解:

預先驗證身分:不需憑證即可利用弱點。   

需有管理員權限:只有擁有管理權限的攻擊者可以利用弱點。 

您可前往 MITRENVD 網站查看本文件提及的其他 CVE 技術說明。

鳴謝

Adobe 在此感謝以下人員提報相關問題,與 Adobe 共同保護客戶:

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

更快、更輕鬆地獲得協助

新的使用者?

快速連結

檢視您的所有計劃 管理您的計劃
檢視快速連結
隱藏快速連結