ID buletin
Ultima actualizare la
24 aug. 2021
Actualizări de securitate disponibile pentru Adobe Commerce | APSB21-64
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB21-64 |
11 august 2021 |
2 |
Sumar
Magento a lansat actualizări pentru edițiile Adobe Commerce și Magento Open Source. Aceste actualizări remediază vulnerabilități evaluate drept critice și importante. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.
Versiunile afectate
| Produs | Versiunea | Platformă |
|---|---|---|
| Adobe Commerce |
2.4.2 și versiunile anterioare |
Toate |
| 2.4.2-p1 și versiunile anterioare |
Toate | |
| 2.3.7 și versiunile anterioare |
Toate |
|
| Magento Open Source |
2.4.2-p1 și versiunile anterioare |
Toate |
| 2.3.7 şi versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.
| Produs | Versiune actualizată | Platformă | Evaluare a priorității | Note de lansare |
|---|---|---|---|---|
| Adobe Commerce |
2.4.3 |
Toate |
2 |
|
| 2.4.2-p2 |
Toate |
2 |
||
| 2.3.7-p1 |
Toate |
2 |
||
| Magento Open Source |
2.4.3 |
Toate |
2 |
|
| 2.4.2-p2 |
Toate | 2 | ||
| 2.3.7-p1 |
Toate |
2 |
Detalii privind vulnerabilitatea
| Categoria de vulnerabilitate | Impactul vulnerabilității | Severitate | Preauentificare? | Sunt necesare privilegii de administrator? |
Scor de bază CVSS |
Vector CVSS |
Magento Bug ID | Numere CVE |
|---|---|---|---|---|---|---|---|---|
| Erori de logică de business (CWE-840) |
Ocolirea caracteristicii de securitate |
Importantă |
da |
Nu |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrară |
Importantă |
Nu |
Nu |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Control inadecvat al accesului (CWE-284) |
Executare de cod arbitrară |
Critică |
da |
da |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Improper Authorization (CWE-285) |
Ocolirea caracteristicii de securitate |
Critică |
da |
da |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Improper Authorization (CWE-285) |
Ocolirea caracteristicii de securitate |
Importantă |
Nu |
Nu |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Validare neadecvată a intrării (CWE-20) |
Refuz de serviciu pentru aplicație |
Critică |
Nu |
Nu |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Validare neadecvată a intrării (CWE-20) |
Escaladarea privilegiilor |
Critică |
da |
Nu |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Validare neadecvată a intrării (CWE-20) |
Ocolirea caracteristicii de securitate |
Critică |
Nu |
Nu |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Validare neadecvată a intrării (CWE-20) |
Ocolirea caracteristicii de securitate |
Importantă |
Nu |
Nu |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Validare neadecvată a intrării (CWE-20) |
Executare de cod arbitrară |
Critică |
da |
da |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Traversare de cale (CWE-22) |
Executare de cod arbitrară |
Critică |
da |
da |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
Injectare comandă în sistemul de operare (CWE-78) |
Executare de cod arbitrară |
Critică |
da |
da |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Autorizare incorectă (CWE-863) |
Citire arbitrară din sistemul de fișiere |
Importantă |
da |
Nu |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Falsificarea solicitărilor de partea serverului (SSRF) (CWE-918) |
Executare de cod arbitrară |
Critică |
da |
da |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
Injectare XML (numită și injectare XPath în orb) (CWE-91) |
Executare de cod arbitrară |
Critică |
Nu |
Nu |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
Injectare XML (numită și injectare XPath în orb) (CWE-91) |
Executare de cod arbitrară |
Critică |
da |
da |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Notă:
Preautentificare: Vulnerabilitatea poate fi exploatată fără acreditări.
Sunt necesare privilegii de administrator: Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.
Mențiuni
Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Trivani Pant în numele Broadway Photo Supply Limited (CVE-2021-36020)
Revizuiri
13 august 2021: s-a actualizat Magento/Magento Commerce cu Adobe Commerce.
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.
