Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Magento | APSB21-30

ID bollettino

Data di pubblicazione

Priorità

ASPB21-30

11 maggio 2021      

2

Riepilogo

Se sfruttate con successo, le vulnerabilità potrebbero provocare l'accesso non autorizzato a risorse soggette a restrizioni. Magento ha rilasciato aggiornamenti per le versioni Magento Commerce e Magento Open Source. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.    

Versioni interessate

Prodotto Versione Piattaforma

Magento Commerce 
2.4.2 e versioni precedenti  
Tutte
2.4.1-p1 e versioni precedenti  
Tutte
2.3.6-p1 e versioni precedenti 
Tutte
Magento Open Source 

2.4.2 e versioni precedenti
Tutte
2.4.1-p1 e versioni precedenti
Tutte
2.3.6-p1 e versioni precedenti 
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto Versione aggiornata Piattaforma Livello di priorità Note sul rilascio
Magento Commerce 2.4.2-p1
Tutte
2

Note sulla versione 2.4.x

Note sulla versione 2.3.x

2.3.7 Tutte
2
Magento Open Source 
2.4.2-p1
Tutte 2
2.3.7 Tutte
2

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Pre-autenticazione? Sono necessari i privilegi di amministratore?

Magento Bug ID Codici CVE
Divulgazione di informazioni 
Divulgazione del percorso principale del documento 
Moderata
No

PRODSECBUG-2927
CVE-2021-28566
Autorizzazione impropria 
Modifica non autorizzata dei dati dei clienti  Moderato 
 
No
PRODSECBUG-2931
CVE-2021-28567
Vulnerabilità cross-site scripting (basato su DOM)
Esecuzione arbitraria di JavaScript nel browser
Importante
No PRODSECBUG-2918
CVE-2021-28556
Autorizzazione impropria
Accesso non autorizzato a risorse limitate
Moderata
No

PRODSECBUG-2935
CVE-2021-28563
Violazione dei principi di progettazione sicura
Accesso non autorizzato a risorse limitate
Moderata 
No

PRODSECBUG-2943
CVE-2021-28583
Path traversal
Scrittura di file system arbitraria
Moderata
No

PRODSECBUG-2957
CVE-2021-28584
Convalida dell'input errata
Aggiramento della funzione di sicurezza
Moderata
No
No MC-39885
CVE-2021-28585
Nota:

Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.   

Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.  

Ulteriori descrizioni tecniche dei CVE citati nel presente documento saranno disponibili sui siti MITRE e NVD .

Ringraziamenti

Adobe desidera ringraziare le persone indicate di seguito per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX 2024

Adobe MAX
La conferenza sulla creatività

14-16 ottobre Miami Beach e online

Adobe MAX

La conferenza sulla creatività

14-16 ottobre Miami Beach e online