Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Magento | APSB21-30

ID del boletín

Fecha de publicación

Prioridad

ASPB30-21

11 de mayo de 2021      

2

Resumen

El éxito de la explotación podría dar lugar a un acceso no autorizado a recursos restringidos. Magento ha publicado actualizaciones para sus ediciones Magento Commerce y Magento Open Source.Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.    

Versiones afectadas

Producto Versión Plataforma

Magento Commerce 
2.4.2 y versiones anteriores  
Todas
2.4.1-p1 y versiones anteriores  
Todas
2.3.6-p1 y versiones anteriores 
Todas
Magento Open Source 

2.4.2 y versiones anteriores
Todas
2.4.1-p1 y versiones anteriores
Todas
2.3.6-p1 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Prioridad Nivel Notas de la versión
Magento Commerce 2.4.2-p1
Todas
2

Notas de la versión 2.4.x

Notas de la versión 2.3.x

2.3.7 Todas
2
Magento Open Source 
2.4.2-p1
Todas 2
2.3.7 Todas
2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Autenticación previa? ¿Se requieren privilegios administrativos?

ID del error de Magento Números CVE
Divulgación de información 
Divulgación de la ruta raíz del documento 
Moderado
No

PRODSECBUG-2927
CVE-2021-28566
Autorización incorrecta 
Modificación no autorizada de datos de clientes  Moderado 
 
No
PRODSECBUG-2931
CVE-2021-28567
Secuencias de comandos en sitios cruzados (basadas en DOM)
Ejecución de JavaScript arbitraria en el navegador
Importante
No PRODSECBUG-2918
CVE-2021-28556
Autorización incorrecta
Acceso no autorizado a recursos restringidos
Moderado
No

PRODSECBUG-2935
CVE-2021-28563
Violación de los principios de diseño seguro
Acceso no autorizado a recursos restringidos
Moderado 
No

PRODSECBUG-2943
CVE-2021-28583
Path traversal
Escritura arbitraria del sistema de archivos
Moderado
No

PRODSECBUG-2957
CVE-2021-28584
Validación incorrecta de la entrada
Omisión de la función de seguridad
Moderado
No
No MC-39885
CVE-2021-28585
Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Las descripciones técnicas adicionales de las CVE a las que se hace referencia en este documento estarán disponibles en los sitios de MITRE y NVD.

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea