Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB21-30

Bulletin-ID

Dato publisert

Prioritet

APSB30-21

11. mai 2021      

2

Sammendrag

Vellykket utnyttelse kan føre til uautorisert tilgang til begrensede kilder. Magento har utgitt oppdateringer for Magento Commerce- og Magento Open Source-utgaver.Disse oppdateringene løser sårbarheter klassifisert som Viktig og Moderate. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.    

Berørte versjoner

Produkt Versjon Plattform

Magento Commerce 
2.4.2 og tidligere versjoner  
Alle
2.4.1-p1 og eldre versjoner  
Alle
2.3.6-p1 og eldre versjoner 
Alle
Magento Open Source 

2.4.2 og tidligere versjoner
Alle
2.4.1-p1 og eldre versjoner 
Alle
2.3.6-p1 og eldre versjoner 
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt Oppdatert versjon Plattform Prioritet Klassifisering Utgivelsesmerknader
Magento Commerce 2.4.2-p1
Alle
2

2.4.x utgivelsesmerknader

2.3.x utgivelsesmerknader

2.3.7 Alle
2
Magento Open Source 
2.4.2-p1
Alle 2
2.3.7 Alle
2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Forhåndsautentisering? Kreves det admin-privilegier?

Magento antivirus-ID CVE-numre
Avsløring av informasjon 
Avsløring av dokumentets rotbane 
Moderat
No
Ja
PRODSECBUG-2927
CVE-2021-28566
Feil autorisasjon 
Uautorisert endring av kundedata Moderat 
 
No
Ja PRODSECBUG-2931
CVE-2021-28567
Skripting på tvers av nettsteder (DOM-basert)
Vilkårlig JavaScript-utførelse i nettleseren
Viktig
Ja No PRODSECBUG-2918
CVE-2021-28556
Feil autorisasjon
Uautorisert tilgang til begrensede kilder
Moderat
No
Ja
PRODSECBUG-2935
CVE-2021-28563
Brudd på sikre designprinsipper
Uautorisert tilgang til begrensede kilder
Moderat 
No
Ja
PRODSECBUG-2943
CVE-2021-28583
Banekrysning
Arbitrært filsystem-skriving
Moderat
No
Ja
PRODSECBUG-2957
CVE-2021-28584
Feil inndatavalidering
Omgåelse av sikkerhetsfunksjon
Moderat
No
No MC-39885
CVE-2021-28585
Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Ekstra tekniske beskrivelser av CVE-er referert til i dette dokumentet vil gjøres tilgjengelig på nettstedene MITRE og NVD.

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

  • Kien Hoang (CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

 Adobe

Få hjelp raskere og enklere

Ny bruker?