Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Adobe Commerce | APSB21-64

ID buletin

Data publicării

Prioritatea

APSB21-64

11 august 2021      

2

Sumar

Magento a lansat actualizări pentru edițiile Adobe Commerce și Magento Open Source. Aceste actualizări remediază vulnerabilități evaluate drept critice și importante. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.       

Versiunile afectate

Produs Versiunea Platformă
Adobe Commerce
2.4.2 și versiunile anterioare  
Toate
2.4.2-p1 și versiunile anterioare  
Toate
2.3.7 și versiunile anterioare 
Toate
Magento Open Source 

2.4.2-p1 și versiunile anterioare
Toate
2.3.7 şi versiunile anterioare   
Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs Versiune actualizată Platformă Evaluare a priorității Note de lansare
Adobe Commerce
2.4.3  
Toate
2

Notele versiunii 2.4.x

Notele versiunii 2.3.x

2.4.2-p2
Toate
2
2.3.7-p1
Toate
2
Magento Open Source 
2.4.3  
Toate
2
2.4.2-p2
Toate 2
2.3.7-p1 
Toate
2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Preauentificare? Sunt necesare privilegii de administrator?

Scor de bază CVSS
Vector CVSS
Magento Bug ID Numere CVE
Erori de logică de business (CWE-840)

Ocolirea caracteristicii de securitate

 Importantă

da

Nu

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Scriptare între site-uri (XSS stocat) (CWE-79)

Executare de cod arbitrară

Importantă

Nu

Nu

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Control inadecvat al accesului (CWE-284)

Executare de cod arbitrară

Critică

da

da

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Improper Authorization (CWE-285)

Ocolirea caracteristicii de securitate

Critică

da

da

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Improper Authorization (CWE-285)

Ocolirea caracteristicii de securitate

Importantă

Nu

Nu

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Validare neadecvată a intrării (CWE-20)

Refuz de serviciu pentru aplicație

Critică

Nu

Nu

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Validare neadecvată a intrării (CWE-20)

Escaladarea privilegiilor

Critică

da

Nu

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Validare neadecvată a intrării (CWE-20)

Ocolirea caracteristicii de securitate

Critică

Nu

Nu

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Validare neadecvată a intrării (CWE-20)

Ocolirea caracteristicii de securitate

Importantă

Nu

Nu

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Validare neadecvată a intrării (CWE-20)

Executare de cod arbitrară

Critică

da

da

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Traversare de cale

(CWE-22)

Executare de cod arbitrară

Critică

da

da

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

Injectare comandă în sistemul de operare (CWE-78)

Executare de cod arbitrară

Critică

da

da

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Autorizare incorectă (CWE-863)

Citire arbitrară din sistemul de fișiere

Importantă

da

Nu

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Falsificarea solicitărilor de partea serverului (SSRF)

(CWE-918)

Executare de cod arbitrară

Critică

da

da

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

Injectare XML

(numită și injectare XPath în orb) (CWE-91)

Executare de cod arbitrară

Critică

Nu

Nu

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

Injectare XML

(numită și injectare XPath în orb) (CWE-91)

Executare de cod arbitrară

Critică

da

da

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Trivani Pant în numele Broadway Photo Supply Limited (CVE-2021-36020)

 

Revizuiri

13 august 2021: s-a actualizat Magento/Magento Commerce cu Adobe Commerce. 

 


Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.

Sigla Adobe

Conectați-vă la cont