Adobe セキュリティ速報

Adobe Commerce に関するセキュリティアップデート公開 | APSB21-64

情報 ID	公開日	優先度
APSB21-64	2021年8月11日	2

要約

Magento は Adobe Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートは、クリティカルおよび重要に分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。

対象のバージョン

製品名	バージョン	プラットフォーム
Adobe Commerce	2.4.2 とそれ以前のバージョン	すべて
	2.4.2-p1 以前のバージョン	すべて
	2.3.7 以前のバージョン	すべて
Magento オープンソース	2.4.2-p1 以前のバージョン	すべて
Magento オープンソース	2.3.7 以前のバージョン	すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	アップデートバージョン	プラットフォーム	優先度評価	リリースノート
Adobe Commerce	2.4.3	すべて	2	2.4.x リリースノート 2.3.x リリースノート
	2.4.2-p2	すべて	2
	2.3.7-p1	すべて	2
Magento オープンソース	2.4.3	すべて	2
	2.4.2-p2	すべて	2
	2.3.7-p1	すべて	2

脆弱性に関する詳細

脆弱性のカテゴリー	脆弱性の影響	深刻度	事前認証？	管理者権限が必要ですか？	CVSS 基本スコア	CVSS ベクター	Magento Bug ID	CVE 番号
ビジネスロジックエラー (CWE-840)	セキュリティ機能のバイパス	重要	○	－	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N	PRODSECBUG-2934	CVE-2021-36012
クロスサイトスクリプティング (保存済み XSS) (CWE-79)	任意のコード実行	重要	－	－	6.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	PRODSECBUG-2963 PRODSECBUG-2964	CVE-2021-36026 CVE-2021-36027
不正なアクセス制御 (CWE-284)	任意のコード実行	クリティカル	○	○	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2977	CVE-2021-36036
不正な認証（CWE-285）	セキュリティ機能のバイパス	クリティカル	○	○	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2968	CVE-2021-36029
不正な認証（CWE-285）	セキュリティ機能のバイパス	重要	－	－	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	PRODSECBUG-2980	CVE-2021-36037
不適切な入力検証(CWE-20)	アプリケーションのサービス拒否	クリティカル	いいえ	－	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H	PRODSECBUG-3004	CVE-2021-36044
不適切な入力検証(CWE-20)	権限昇格	クリティカル	○	－	8.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L	PRODSECBUG-2971	CVE-2021-36032
不適切な入力検証(CWE-20)	セキュリティ機能のバイパス	クリティカル	－	－	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N	PRODSECBUG-2969	CVE-2021-36030
不適切な入力検証(CWE-20)	セキュリティ機能のバイパス	重要	－	－	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	PRODSECBUG-2982	CVE-2021-36038
不適切な入力検証(CWE-20)	任意のコード実行	クリティカル	○	○	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992	CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042
パストラバーサル（CWE-22）	任意のコード実行	クリティカル	○	○	7.2	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	PRODSECBUG-2970	CVE-2021-36031
OS コマンドインジェクション (CWE-78)	任意のコード実行	クリティカル	○	○	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2958 PRODSECBUG-2960	CVE-2021-36022 CVE-2021-36023
不正な承認 (CWE-863)	任意のファイルシステム読み取り	重要	○	－	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	PRODSECBUG-2984	CVE-2021-36039
サーバー側要求偽造（SSRF）（CWE-918）	任意のコード実行	クリティカル	○	○	8	CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2996	CVE-2021-36043
XML インジェクション (別名ブラインド XPath インジェクショ) (CWE-91)	任意のコード実行	クリティカル	－	－	8.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N	PRODSECBUG-2937	CVE-2021-36020
XML インジェクション (別名ブラインド XPath インジェクショ) (CWE-91)	任意のコード実行	クリティカル	○	○	9.1	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H	PRODSECBUG-2965 PRODSECBUG-2972	CVE-2021-36028 CVE-2021-36033

注意：

事前認証：この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限：この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。   

Blaklis 氏 (CVE-2021-36023、CVE-2021-36026、CVE-2021-36027、CVE-2021-36036、CVE-2021-36029、CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36031)
Igorsdv 氏 (CVE-2021-36012)
Zb3 氏 (CVE-2021-36037、CVE-2021-36032、CVE-2021-36038、CVE-2021-36040、CVE-2021-36041、CVE-2021-36042、CVE-2021-36039、CVE-2021-36043、CVE-2021-36033、CVE-2021-36028)
Dftrace 氏 (CVE-2021-36044)
Floorz 氏 (CVE-2021-36030)
Eboda 氏 (CVE-2021-36022)
Broadway Photo Supply Limited*の代理でTrivani Pant 氏 (CVE-2021-36020)

更新履歴

2021 年 8 月 13 日：Magento と Magento Commerce を Adobe Commerce に更新

詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

Adobe セキュリティ速報

要約

対象のバージョン

解決策

脆弱性に関する詳細

謝辞

更新履歴

ヘルプをすばやく簡単に入手

アドビサポートコミュニティ

サポート