Bulletin-ID
Senast uppdaterad den
24 aug. 2021
Säkerhetsuppdateringar för Adobe Commerce | APSB21-64
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB21-64 |
den 11 augusti 2021 |
2 |
Sammanfattning
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.2 och tidigare versioner |
Alla |
| 2.4.2-p1 och tidigare versioner |
Alla | |
| 2.3.7 och tidigare versioner |
Alla |
|
| Magento Open Source |
2.4.2-p1 och tidigare versioner |
Alla |
| 2.3.7 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritet | Versionsinformation |
|---|---|---|---|---|
| Adobe Commerce |
2.4.3 |
Alla |
2 |
|
| 2.4.2-p2 |
Alla |
2 |
||
| 2.3.7-p1 |
Alla |
2 |
||
| Magento Open Source |
2.4.3 |
Alla |
2 |
|
| 2.4.2-p2 |
Alla | 2 | ||
| 2.3.7-p1 |
Alla |
2 |
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Förautentisering? | Krävs administratörsbehörighet? |
CVSS-baspoäng |
CVSS-vektor |
Magento fel-ID | CVE-nummer |
|---|---|---|---|---|---|---|---|---|
| Affärslogikfel (CWE-840) |
Åsidosättning av säkerhetsfunktion |
Viktigt |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Exekvering av godtycklig kod |
Viktigt |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Felaktig åtkomstkontroll (CWE-284) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Felaktig auktorisering (CWE-285) |
Åsidosättning av säkerhetsfunktion |
Viktigt |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Felaktig validering av indata (CWE-20) |
Denial-of-service för program |
Kritisk |
Nej |
no |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Felaktig validering av indata (CWE-20) |
Eskalering av behörighet |
Kritisk |
ja |
no |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Felaktig validering av indata (CWE-20) |
Åsidosättning av säkerhetsfunktion |
Kritisk |
no |
no |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Felaktig validering av indata (CWE-20) |
Åsidosättning av säkerhetsfunktion |
Viktigt |
no |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Felaktig validering av indata (CWE-20) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Path traversal (CWE-22) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
OS-kommandoinjektion (CWE-78) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Felaktig auktorisering (CWE-863) |
Godtycklig läsning av filsystem |
Viktigt |
ja |
no |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Förfalskad begäran på serversidan (SSRF) (CWE-918) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML-injektion (även kallad indragen XPath-injektion) (CWE-91) |
Exekvering av godtycklig kod |
Kritisk |
no |
no |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML-injektion (även kallad indragen XPath-injektion) (CWE-91) |
Exekvering av godtycklig kod |
Kritisk |
ja |
ja |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Obs!
Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.
Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.
Tack
Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Trivani Pant för Broadway Photo Supply Limited (CVE-2021-36020)
Revisioner
13 augusti 2021: Uppdaterade Magento/Magento Commerce med Adobe Commerce.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
