Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Magento | APSB21-30

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB30-21

11 maj 2021      

2

Sammanfattning

Ett lyckat utnyttjande kan leda till obehörig åtkomst till begränsade resurser. Magento har släppt uppdateringar för versionerna Magento Commerce och Magento Open Source.Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och måttliga. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.    

Berörda versioner

Produkt Version Plattform

Magento Commerce 
2.4.2 och tidigare versioner  
Alla
2.4.1-p1 och tidigare versioner  
Alla
2.3.6-p1 och tidigare versioner 
Alla
Magento Open Source 

2.4.2 och tidigare versioner
Alla
2.4.1-p1 och tidigare versioner
Alla
2.3.6-p1 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritet Versionsinformation
Magento Commerce 2.4.2-p1
Alla
2

Versionsinformation 2.4.x

Versionsinformation 2.3.x

2.3.7 Alla
2
Magento Open Source 
2.4.2-p1
Alla 2
2.3.7 Alla
2

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Förautentisering? Krävs administratörsbehörighet?

Magento fel-ID CVE-nummer
Informationsexponering 
Information om dokumentets rotsökväg 
Måttlig
Nej
Ja
PRODSECBUG-2927
CVE-2021-28566
Felaktig auktorisering 
Obehörig ändring av kunddata  Måttlig 
 
Nej
Ja PRODSECBUG-2931
CVE-2021-28567
Serveröverskridande skriptning (DOM-baserad)
Godtycklig JavaScript-körning i webbläsaren
Viktigt
Ja Nej PRODSECBUG-2918
CVE-2021-28556
Felaktig auktorisering
Obehörig åtkomst till begränsade resurser
Måttlig
Nej
Ja
PRODSECBUG-2935
CVE-2021-28563
Överträdelse av principerna för säker design
Obehörig åtkomst till begränsade resurser
Måttlig 
Nej
Ja
PRODSECBUG-2943
CVE-2021-28583
Path traversal
Godtycklig skrivning till filsystem
Måttlig
Nej
Ja
PRODSECBUG-2957
CVE-2021-28584
Felaktig validering av indata
Åsidosättning av säkerhetsfunktion
Måttlig
Nej
Nej MC-39885
CVE-2021-28585
Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Ytterligare tekniska beskrivningar av de CVE-nummer som refereras i det här dokumentet kommer att göras tillgängliga på MITRE- och NVD-webbplatserna.

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Adobes logotyp

Logga in på ditt konto