Adobe-Sicherheitsbulletin

Suchen

Zuletzt aktualisiert am 10. September 2021 | Gilt auch für Digital Editions

Sicherheits-Updates für Magento verfügbar | APSB21-30

Bulletin-ID	Veröffentlichungsdatum	Priorität
ASPB30-21	11. Mai 2021	2

Zusammenfassung

Eine erfolgreiche Nutzung könnte zu einem unberechtigten Zugang zu eingeschränkten Ressourcen führen. Magento hat Updates für Magento Commerce- und Magento Open Source-Editionen veröffentlicht.Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.

Betroffene Versionen

Produkt	Version	Plattform
Magento Commerce	2.4.2 und frühere Versionen	Alle
	2.4.1-p1 und frühere Versionen	Alle
	2.3.6-p1 und frühere Versionen	Alle
Magento Open Source	2.4.2 und frühere Versionen	Alle
	2.4.1-p1 und frühere Versionen	Alle
	2.3.6-p1 und frühere Versionen	Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt	Aktualisierte Version	Plattform	Priorität	Versionshinweise
Magento Commerce	2.4.2-p1	Alle	2	2.4.x – Versionshinweise 2.3.x – Versionshinweise
Magento Commerce	2.3.7	Alle	2
Magento Open Source	2.4.2-p1	Alle	2
Magento Open Source	2.3.7	Alle	2

Sicherheitslückendetails

Sicherheitslückenkategorie	Sicherheitslückenauswirkung	Problemstufe	Vorauthentifizierung?	Sind Administratorrechte erforderlich?	Magento-Fehler-ID	CVE-Nummern
Offenlegung von Informationen	Anzeigen des Dokumentstammpfads	Mittel	Nein	Ja	PRODSECBUG-2927	CVE-2021-28566
Unzulässige Autorisierung	Unberechtigte Änderung der Kundendaten	Mittel	Nein	Ja	PRODSECBUG-2931	CVE-2021-28567
Cross-Site-Scripting (DOM-basiert)	Willkürliche JavaScript-Ausführung im Browser	Wichtig	Ja	Nein	PRODSECBUG-2918	CVE-2021-28556
Unzulässige Autorisierung	Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen	Mittel	Nein	Ja	PRODSECBUG-2935	CVE-2021-28563
Verletzung sicherer Designgrundsätze	Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen	Mittel	Nein	Ja	PRODSECBUG-2943	CVE-2021-28583
Path Traversal	Willkürlicher Dateisystem-Schreibzugriff	Mittel	Nein	Ja	PRODSECBUG-2957	CVE-2021-28584
Validierung ungültiger Eingaben	Umgehung der Sicherheitsfunktionen	Mittel	Nein	Nein	MC-39885	CVE-2021-28585

Hinweis:

Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.

Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.

Zusätzliche technische Beschreibungen der in diesem Dokument genannten CVEs werden auf den MITRE- und NVD-Webseiten bereitgestellt.

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto – Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?