Adobe – sikkerhetsbulletin

Søk

Sist oppdatert 10. sep. 2021 | Gjelder også for Digital Editions

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB21-30

Bulletin-ID	Dato publisert	Prioritet
APSB30-21	11. mai 2021	2

Sammendrag

Vellykket utnyttelse kan føre til uautorisert tilgang til begrensede kilder. Magento har utgitt oppdateringer for Magento Commerce- og Magento Open Source-utgaver.Disse oppdateringene løser sårbarheter klassifisert som Viktig og Moderate. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.

Berørte versjoner

Produkt	Versjon	Plattform
Magento Commerce	2.4.2 og tidligere versjoner	Alle
	2.4.1-p1 og eldre versjoner	Alle
	2.3.6-p1 og eldre versjoner	Alle
Magento Open Source	2.4.2 og tidligere versjoner	Alle
	2.4.1-p1 og eldre versjoner	Alle
	2.3.6-p1 og eldre versjoner	Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt	Oppdatert versjon	Plattform	Prioritet Klassifisering	Utgivelsesmerknader
Magento Commerce	2.4.2-p1	Alle	2	2.4.x utgivelsesmerknader 2.3.x utgivelsesmerknader
Magento Commerce	2.3.7	Alle	2
Magento Open Source	2.4.2-p1	Alle	2
Magento Open Source	2.3.7	Alle	2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori	Sikkerhetsprobleminnvirkning	Alvorlighetsgrad	Forhåndsautentisering?	Kreves det admin-privilegier?	Magento antivirus-ID	CVE-numre
Avsløring av informasjon	Avsløring av dokumentets rotbane	Moderat	No	Ja	PRODSECBUG-2927	CVE-2021-28566
Feil autorisasjon	Uautorisert endring av kundedata	Moderat	No	Ja	PRODSECBUG-2931	CVE-2021-28567
Skripting på tvers av nettsteder (DOM-basert)	Vilkårlig JavaScript-utførelse i nettleseren	Viktig	Ja	No	PRODSECBUG-2918	CVE-2021-28556
Feil autorisasjon	Uautorisert tilgang til begrensede kilder	Moderat	No	Ja	PRODSECBUG-2935	CVE-2021-28563
Brudd på sikre designprinsipper	Uautorisert tilgang til begrensede kilder	Moderat	No	Ja	PRODSECBUG-2943	CVE-2021-28583
Banekrysning	Arbitrært filsystem-skriving	Moderat	No	Ja	PRODSECBUG-2957	CVE-2021-28584
Feil inndatavalidering	Omgåelse av sikkerhetsfunksjon	Moderat	No	No	MC-39885	CVE-2021-28585

Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.

Ekstra tekniske beskrivelser av CVE-er referert til i dette dokumentet vil gjøres tilgjengelig på nettstedene MITRE og NVD.

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Få hjelp raskere og enklere

Ny bruker?