Boletim de segurança da Adobe

Pesquisar

Última atualização em 10/09/2021 | Também é aplicável a Digital Editions

Atualizações de segurança disponíveis para Magento | APSB21-30

ID do boletim	Data de publicação	Prioridade
ASPB30-21	11 de maio de 2021	2

Resumo

Uma exploração bem sucedida poderá conduzir a um acesso não autorizado a recursos restritos. A Magento lançou atualizações para as edições do Magento Commerce e do Magento Open Source.Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.

Versões afetadas

Produto	Versão	Plataforma
Magento Commerce	2.4.2 e versões anteriores	Todos
	2.4.1-p1 e versões anteriores	Todos
	2.3.6-p1 e versões anteriores	Todos
Magento Open Source	2.4.2 e versões anteriores	Todos
	2.4.1-p1 e versões anteriores	Todos
	2.3.6-p1 e versões anteriores	Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto	Versão atualizada	Plataforma	Classificação de prioridade	Notas de versão
Magento Commerce	2.4.2-p1	Todos	2	Notas de versão 2.4.x Notas de versão 2.3.x
Magento Commerce	2.3.7	Todos	2
Magento Open Source	2.4.2-p1	Todos	2
Magento Open Source	2.3.7	Todos	2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade	Impacto da vulnerabilidade	Severidade	Pré-autenticação?	Privilégios de administrador necessários?	ID de Bug do Magento	Números CVE
Divulgação de informações	Divulgação do caminho raiz do documento	Moderado	Não	Sim	PRODSECBUG-2927	CVE-2021-28566
Autorização indevida	Modificação não autorizada de dados de clientes	Moderado	Não	Sim	PRODSECBUG-2931	CVE-2021-28567
Criação de script entre sites (baseado em DOM)	Execução arbitrária de JavaScript no navegador	Importante	Sim	Não	PRODSECBUG-2918	CVE-2021-28556
Autorização indevida	Acesso não autorizado a recursos restritos	Moderado	Não	Sim	PRODSECBUG-2935	CVE-2021-28563
Violação dos princípios de concepção segura	Acesso não autorizado a recursos restritos	Moderado	Não	Sim	PRODSECBUG-2943	CVE-2021-28583
Travessia de caminho	Gravação arbitrária do sistema de arquivos	Moderado	Não	Sim	PRODSECBUG-2957	CVE-2021-28584
Validação de entrada inadequada	Falha de recurso de segurança	Moderado	Não	Não	MC-39885	CVE-2021-28585

Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.

Descrições técnicas adicionais dos CVE mencionados neste documento serão disponibilizadas nos sites de MITRE e NVD.

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Receba ajuda com mais rapidez e facilidade

Novo usuário?