Adobe Güvenlik Bülteni

Ara

Magento için güvenlik güncellemeleri mevcut | APSB21-30

Bülten No

Yayınlandığı Tarih

Öncelik

APSB30-21

11/05/2021

2

Özet

Bu açıktan başarıyla yararlanılırsa kısıtlı kaynaklara yetkisiz erişim gerçekleşebilir. Magento, Magento Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı.Bu güncellemeler önemli ve orta güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.    

Etkilenen Sürümler

Ürün Sürüm Platform

Magento Commerce 
 2.4.2 ve önceki sürümler  
 Tümü
2.4.1-p1 ve önceki sürümler  
 Tümü
2.3.6-p1 ve önceki sürümler 
 Tümü
Magento Open Source 

 2.4.2 ve önceki sürümler
 Tümü
2.4.1-p1 ve önceki sürümler
 Tümü
2.3.6-p1 ve önceki sürümler 
 Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün Güncellenen Sürüm Platform Öncelik Derecelendirme Sürüm Notları
Magento Commerce 2.4.2-p1
 Tümü
 2

2.4.x sürüm notları

2.3.x sürüm notları
2.3.7 Tümü
 2
Magento Open Source 
 2.4.2-p1
 Tümü 2
2.3.7 Tümü
 2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Ön kimlik doğrulama? Yönetici ayrıcalıkları gerekli?

 Magento Bug ID CVE numaraları
Bilgilerin Açığa Çıkması 
 Belge kök adresinin ifşa edilmesi 
 Orta Dereceli
 No
 Evet
 PRODSECBUG-2927
 CVE-2021-28566
Uygunsuz Yetkilendirme 
 Müşteri verisinin yetkisiz şekilde değiştirilmesi Orta Dereceli 
 
 No
 Evet PRODSECBUG-2931
 CVE-2021-28567
Çarpaz site dizgeleme (DOM-tabanlı)
 Tarayıcıda gelişigüzel JavaScript çalıştırma
 Önemli
 Evet No PRODSECBUG-2918
 CVE-2021-28556
Uygunsuz Yetkilendirme
 Kısıtlı kaynaklara yetkisiz erişim
 Orta Dereceli
 No
 Evet
 PRODSECBUG-2935
 CVE-2021-28563
Güvenli Tasarım İlkelerinin İhlali
 Kısıtlı kaynaklara yetkisiz erişim
 Orta Dereceli 
 No
 Evet
 PRODSECBUG-2943
 CVE-2021-28583
Yol geçişi
 Rastgele sistem dosyası yazılması
 Orta Dereceli
 No
 Evet
 PRODSECBUG-2957
 CVE-2021-28584
Uygunsuz Giriş Doğrulaması
 Güvenlik özelliği atlatması
 Orta Dereceli
 No
 No MC-39885
 CVE-2021-28585
Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Bu belgede geçen CVE'lerin ek teknik açıklamaları MITRE ve NVD sitelerinde mevcut olacaktır.

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?

Hızlı bağlantılar

Tüm planlarınızı görüntüleyin Planlarınızı yönetin
Hızlı bağlantıları görüntüleyin
Hızlı bağlantıları gizleyin