Buletin de securitate Adobe

Căutare

Actualizări de securitate disponibile pentru Magento | APSB21-30

ID buletin

Data publicării

Prioritatea

ASPB30-21

11 mai 2021

2

Sumar

Exploatarea reușită poate duce la acces neautorizat la resurse restricționate. Magento a lansat actualizări pentru edițiile Magento Commerce și Magento Open Source.Aceste actualizări remediază vulnerabilități evaluate drept importante și moderate. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.    

Versiunile afectate

Produs Versiunea Platformă

Magento Commerce 
 2.4.2 și versiunile anterioare  
 Toate
2.4.1-p1 și versiunile anterioare  
 Toate
2.3.6-p1 și versiunile anterioare 
 Toate
Magento Open Source 

 2.4.2 și versiunile anterioare
 Toate
2.4.1-p1 și versiunile anterioare
 Toate
2.3.6-p1 și versiunile anterioare 
 Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs Versiune actualizată Platformă Evaluare a priorității Note de lansare
Magento Commerce 2.4.2-p1
 Toate
 2

Notele versiunii 2.4.x

Notele versiunii 2.3.x
2.3.7 Toate
 2
Magento Open Source 
 2.4.2-p1
 Toate 2
2.3.7 Toate
 2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Preauentificare? Sunt necesare privilegii de administrator?

 Magento Bug ID Numere CVE
Divulgarea informațiilor 
 Dezvăluirea căii rădăcină a documentului 
 Moderată
 Nu
 Da
 PRODSECBUG-2927
 CVE-2021-28566
Autorizare inadecvată 
 Modificare neautorizată a datelor clienților Moderată 
 
 Nu
 Da PRODSECBUG-2931
 CVE-2021-28567
Scriptare între site-uri (bazată pe DOM)
 Executare arbitrară de cod JavaScript în browser
 Importantă
 Da Nu PRODSECBUG-2918
 CVE-2021-28556
Autorizare inadecvată
 Acces neautorizat la resurse restricționate
 Moderată
 Nu
 Da
 PRODSECBUG-2935
 CVE-2021-28563
Încălcarea principiilor de proiectare sigură
 Acces neautorizat la resurse restricționate
 Moderată 
 Nu
 Da
 PRODSECBUG-2943
 CVE-2021-28583
Traversare de cale
 Scriere arbitrară în sistemul de fișiere
 Moderată
 Nu
 Da
 PRODSECBUG-2957
 CVE-2021-28584
Validare incorectă a intrării
 Ocolirea caracteristicii de securitate
 Moderată
 Nu
 Nu MC-39885
 CVE-2021-28585
Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Descrierile tehnice suplimentare ale CVE-urilor menționate în acest document vor fi disponibile pe site-urile MITRE și NVD.

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Kien Hoang (CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Adobe, Inc.

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Linkuri rapide

Vizualizați-vă toate planurile Gestionați-vă planurile
Afișați linkurile rapide
Ascundeți linkurile rapide