Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Commerce | APSB21-64

Bulletin-ID

Dato publisert

Prioritet

APSB21-64

11. august 2021      

2

Sammendrag

Magento har ulansert oppdateringer for Adobe Commerce- og Magento Open Source-versjonene. Disse oppdateringene løser sårbarheter klassifisert som kritiske og viktige. Utnyttelse av disse sårbarhetene kan føre til vilkårlig kjøring av kode.       

Berørte versjoner

Produkt Versjon Plattform
Adobe Commerce
2.4.2 og tidligere versjoner  
Alle
2.4.2-p1 og tidligere versjoner  
Alle
2.3.7 og tidligere versjoner 
Alle
Magento Open Source 

2.4.2-p1 og tidligere versjoner
Alle
2.3.7 og eldre versjoner
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt Oppdatert versjon Plattform Prioritet Klassifisering Utgivelsesmerknader
Adobe Commerce
2.4.3
Alle
2

2.4.x utgivelsesmerknader

2.3.x utgivelsesmerknader

2.4.2-p2
Alle
2
2.3.7-p1
Alle
2
Magento Open Source 
2.4.3  
Alle
2
2.4.2-p2
Alle 2
2.3.7-p1 
Alle
2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Forhåndsautentisering? Kreves det admin-privilegier?

CVSS grunnscore
CVSS-vektor
Magento antivirus-ID CVE-numre
Forretningslogikkfeil (CWE-840)

Omgåelse av sikkerhetsfunksjon

 Viktig

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Vilkårlig kjøring av kode

Viktig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Feil tilgangskontroll (CWE-284)

Vilkårlig kjøring av kode

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Upassende autorisasjon (CWE-285)

Omgåelse av sikkerhetsfunksjon

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Upassende autorisasjon (CWE-285)

Omgåelse av sikkerhetsfunksjon

Viktig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Feil inndatavalidering (CWE-20)

Tjenestenekt for program

Kritisk

No

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Feil inndatavalidering (CWE-20)

Rettighetsutvidelse

Kritisk

ja

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Feil inndatavalidering (CWE-20)

Omgåelse av sikkerhetsfunksjon

Kritisk

no

no

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Feil inndatavalidering (CWE-20)

Omgåelse av sikkerhetsfunksjon

Viktig

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Feil inndatavalidering (CWE-20)

Vilkårlig kjøring av kode

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Banekrysning

(CWE-22)

Vilkårlig kjøring av kode

Kritisk

ja

ja

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

OS-kommandoinjeksjon (CWE-78)

Vilkårlig kjøring av kode

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Feil autorisasjon (CWE-863)

Vilkårlig lesing av filsystem

Viktig

ja

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Forfalskning av forespørsler på serversiden (Server-Side Request Forgery=SSRF)

(CWE-918)

Vilkårlig kjøring av kode

Kritisk

ja

ja

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML-injeksjon

(også kalt blind XPath-injeksjon) (CWE-91)

Vilkårlig kjøring av kode

Kritisk

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML-injeksjon

(også kalt blind XPath-injeksjon) (CWE-91)

Vilkårlig kjøring av kode

Kritisk

ja

ja

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant på vegne av Broadway Photo Supply Limited (CVE-2021-36020)

 

Revisjoner

13. august 2021: Oppdatert Magento/Magento Commerce med Adobe Commerce. 

 


For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com.

Adobe-logoen

Logg på kontoen din