Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Commerce | APSB21-64

ID do boletim

Data de publicação

Prioridade

APSB21-64

11 de agosto de 2021      

2

Resumo

A Magento lançou atualizações para as edições do Adobe Commerce e do Magento Open Source. Estas atualizações resolvem vulnerabilidades classificadas como críticas e importantes. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.       

Versões afetadas

Produto Versão Plataforma
Adobe Commerce
2.4.2 e versões anteriores  
Todos
2.4.2-p1 e versões anteriores  
Todos
2.3.7 e versões anteriores 
Todos
Magento Open Source 

2.4.2-p1 e versões anteriores
Todos
2.3.7 e versões anteriores   
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Notas de versão
Adobe Commerce
2.4.3  
Todos
2

Notas de versão 2.4.x

Notas de versão 2.3.x

2.4.2-p2
Todos
2
2.3.7-p1
Todos
2
Magento Open Source 
2.4.3  
Todos
2
2.4.2-p2
Todos 2
2.3.7-p1 
Todos
2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pré-autenticação? Privilégios de administrador necessários?

Pontuação base de CVSS
Vetor CVSS
ID de Bug do Magento Números CVE
Erros de lógica comercial (CWE-840)

Falha de recurso de segurança

 Importante

sim

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrária

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Controle de acesso impróprio (CWE-284)

Execução de código arbitrária

Crítico

sim

sim

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Autorização inadequada (CWE-285)

Falha de recurso de segurança

Crítico

sim

sim

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Autorização inadequada (CWE-285)

Falha de recurso de segurança

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Validação de entrada inadequada (CWE-20)

Negação de serviço de aplicativo

Crítico

Não

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Validação de entrada inadequada (CWE-20)

Escalonamento de privilégio

Crítico

sim

no

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Validação de entrada inadequada (CWE-20)

Falha de recurso de segurança

Crítico

no

no

7,5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Validação de entrada inadequada (CWE-20)

Falha de recurso de segurança

Importante

no

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Validação de entrada inadequada (CWE-20)

Execução de código arbitrária

Crítico

sim

sim

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Travessia de caminho

(CWE-22)

Execução de código arbitrária

Crítico

sim

sim

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Injeção de comando do SO (CWE-78)

Execução de código arbitrária

Crítico

sim

sim

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Autorização incorreta (CWE-863)

Leitura arbitrária do sistema de arquivos

Importante

sim

no

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Server-Side Request Forgery (SSRF)

(CWE-918)

Execução de código arbitrária

Crítico

sim

sim

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

Injeção de XML

(t.c.p. Injeção cega XPath) (CWE-91)

Execução de código arbitrária

Crítico

no

no

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

Injeção de XML

(t.c.p. Injeção cega XPath) (CWE-91)

Execução de código arbitrária

Crítico

sim

sim

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.   

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-3 CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2020 21-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-3 CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2023 21-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant em nome da Broadway Photo Supply Limited (CVE-2021-36020)

 

Revisões

13 de agosto de 2021: Atualização do Magento/Magento Commerce com o Adobe Commerce. 

 


Para obter mais informações, visite https://helpx.adobe.com/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online