Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Ostatnia aktualizacja 10 wrz 2021 | Dotyczy również Digital Editions

Dostępne aktualizacje zabezpieczeń programu Magento | APSB21-30

ID biuletynu	Data publikacji	Priorytet
ASPB30-21	11 maja 2021 r.	2

Podsumowanie

Wykorzystanie tej luki mogło doprowadzić do nieautoryzowanego dostępu do ograniczonych zasobów. Firma Magento wydała aktualizacje wersji Magento Commerce i Magento Open Source.Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotną i umiarkowaną. Luki te mogą umożliwić wykonanie dowolnego kodu.

Zagrożone wersje

Produkt	Wersja	Platforma
Magento Commerce	2.4.2 i wcześniejsze wersje	Wszystkie
	2.4.1-p1 i starsze wersje	Wszystkie
	2.3.6-p1 i starsze wersje	Wszystkie
Magento Open Source	2.4.2 i wcześniejsze wersje	Wszystkie
	2.4.1-p1 i starsze wersje	Wszystkie
	2.3.6-p1 i starsze wersje	Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt	Zaktualizowana wersja	Platforma	Ocena priorytetu	Uwagi na temat wersji
Magento Commerce	2.4.2-p1	Wszystkie	2	Uwagi na temat wersji 2.4.x Uwagi na temat wersji 2.3.x
Magento Commerce	2.3.7	Wszystkie	2
Magento Open Source	2.4.2-p1	Wszystkie	2
Magento Open Source	2.3.7	Wszystkie	2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Ostrość	Uwierzytelnianie wstępne?	Wymagane uprawnienia administratora?	ID błędu Magento	Numery CVE
Ujawnienie informacji	Ujawnianie ścieżki katalogu głównego dokumentu	Średnia	Nie	Tak	PRODSECBUG-2927	CVE-2021-28566
Niewłaściwe pozwolenie	Nieautoryzowana modyfikacja danych klientów	Średnia	Nie	Tak	PRODSECBUG-2931	CVE-2021-28567
Skrypty międzywitrynowe {oparte na modelu DOM}	Arbitralne wykonanie JavaScript w przeglądarce	Ważna	Tak	Nie	PRODSECBUG-2918	CVE-2021-28556
Niewłaściwe pozwolenie	Nieautoryzowany dostęp do ograniczonych zasobów	Średnia	Nie	Tak	PRODSECBUG-2935	CVE-2021-28563
Naruszenie zasad bezpiecznego projektowania	Nieautoryzowany dostęp do ograniczonych zasobów	Średnia	Nie	Tak	PRODSECBUG-2943	CVE-2021-28583
Przeglądanie ścieżek	Zapisanie dowolnych danych w systemie plików	Średnia	Nie	Tak	PRODSECBUG-2957	CVE-2021-28584
Nieprawidłowa walidacja danych wejściowych	Obejście funkcji bezpieczeństwa	Średnia	Nie	Nie	MC-39885	CVE-2021-28585

Uwaga:

Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.

Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.

Dodatkowe opisy techniczne CVEs, do których odwołuje się ten dokument, będą udostępnione w serwisach MITRE i NVD.

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto — Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?