Buletin de securitate Adobe

Căutare

Ultima actualizare la 10 sept. 2021 | Se aplică și la Digital Editions

Actualizări de securitate disponibile pentru Magento | APSB21-30

ID buletin	Data publicării	Prioritatea
ASPB30-21	11 mai 2021	2

Sumar

Exploatarea reușită poate duce la acces neautorizat la resurse restricționate. Magento a lansat actualizări pentru edițiile Magento Commerce și Magento Open Source.Aceste actualizări remediază vulnerabilități evaluate drept importante și moderate. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.

Versiunile afectate

Produs	Versiunea	Platformă
Magento Commerce	2.4.2 și versiunile anterioare	Toate
	2.4.1-p1 și versiunile anterioare	Toate
	2.3.6-p1 și versiunile anterioare	Toate
Magento Open Source	2.4.2 și versiunile anterioare	Toate
	2.4.1-p1 și versiunile anterioare	Toate
	2.3.6-p1 și versiunile anterioare	Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs	Versiune actualizată	Platformă	Evaluare a priorității	Note de lansare
Magento Commerce	2.4.2-p1	Toate	2	Notele versiunii 2.4.x Notele versiunii 2.3.x
Magento Commerce	2.3.7	Toate	2
Magento Open Source	2.4.2-p1	Toate	2
Magento Open Source	2.3.7	Toate	2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate	Impactul vulnerabilității	Severitate	Preauentificare?	Sunt necesare privilegii de administrator?	Magento Bug ID	Numere CVE
Divulgarea informațiilor	Dezvăluirea căii rădăcină a documentului	Moderată	Nu	Da	PRODSECBUG-2927	CVE-2021-28566
Autorizare inadecvată	Modificare neautorizată a datelor clienților	Moderată	Nu	Da	PRODSECBUG-2931	CVE-2021-28567
Scriptare între site-uri (bazată pe DOM)	Executare arbitrară de cod JavaScript în browser	Importantă	Da	Nu	PRODSECBUG-2918	CVE-2021-28556
Autorizare inadecvată	Acces neautorizat la resurse restricționate	Moderată	Nu	Da	PRODSECBUG-2935	CVE-2021-28563
Încălcarea principiilor de proiectare sigură	Acces neautorizat la resurse restricționate	Moderată	Nu	Da	PRODSECBUG-2943	CVE-2021-28583
Traversare de cale	Scriere arbitrară în sistemul de fișiere	Moderată	Nu	Da	PRODSECBUG-2957	CVE-2021-28584
Validare incorectă a intrării	Ocolirea caracteristicii de securitate	Moderată	Nu	Nu	MC-39885	CVE-2021-28585

Notă:

Preautentificare: Vulnerabilitatea poate fi exploatată fără acreditări.

Sunt necesare privilegii de administrator: Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.

Descrierile tehnice suplimentare ale CVE-urilor menționate în acest document vor fi disponibile pe site-urile MITRE și NVD.

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?