Adobe Güvenlik Bülteni

Adobe Commerce için Güvenlik Güncellemesi Mevcut | APSB21-64

Bülten No

Yayınlandığı Tarih

Öncelik

APSB21-64

11 Ağustos 2021      

2

Özet

Magento, Adobe Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı. Bu güncellemeler critik ve önemli güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.

Etkilenen Sürümler

Ürün Sürüm Platform
Adobe Commerce
2.4.2 ve önceki sürümler  
Tümü
2.4.2-p1 ve önceki sürümler  
Tümü
2.3.7 ve önceki sürümler 
Tümü
Magento Open Source 

2.4.2-p1 ve önceki sürümler
Tümü
2.3.7 ve önceki sürümler
Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün Güncellenen Sürüm Platform Öncelik Derecelendirme Sürüm Notları
Adobe Commerce
2.4.3  
Tümü
2

2.4.x sürüm notları

2.3.x sürüm notları

2.4.2-p2
Tümü
2
2.3.7-p1
Tümü
2
Magento Open Source 
2.4.3  
Tümü
2
2.4.2-p2
Tümü 2
2.3.7-p1 
Tümü
2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Ön kimlik doğrulama? Yönetici ayrıcalıkları gerekli?

CVSS baz skoru
CVSS vektörü
Magento Bug ID CVE numaraları
İş Mantığı Hataları (CWE-840)

Güvenlik özelliği atlatması

 Önemli

evet

hayır

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

Siteler Arası Betik (Depolanan XSS) (CWE-79)

Rastgele kod yürütme

Önemli

hayır

hayır

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

Uygunsuz Erişim Kontrolü (CWE-284)

Rastgele kod yürütme

Kritik

evet

evet

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

Uygunsuz Yetkilendirme (CWE-285)

Güvenlik özelliği atlatması

Kritik

evet

evet

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

Uygunsuz Yetkilendirme (CWE-285)

Güvenlik özelliği atlatması

Önemli

hayır

hayır

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

Uygunsuz Giriş Doğrulaması (CWE-20)

Uygulama hizmet engelleme

Kritik

No

hayır

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

Uygunsuz Giriş Doğrulaması (CWE-20)

Ayrıcalığı yükseltme

Kritik

evet

hayır

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

Uygunsuz Giriş Doğrulaması (CWE-20)

Güvenlik özelliği atlatması

Kritik

hayır

hayır

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

Uygunsuz Giriş Doğrulaması (CWE-20)

Güvenlik özelliği atlatması

Önemli

hayır

hayır

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

Uygunsuz Giriş Doğrulaması (CWE-20)

Rastgele kod yürütme

Kritik

evet

evet

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

Yol Geçişi

(CWE-22)

Rastgele kod yürütme

Kritik

evet

evet

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

OS Komut Ekleme (CWE-78)

Rastgele kod yürütme

Kritik

evet

evet

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

Yanlış Yetkilendirme(CWE-863)

Rastgele sistem dosyası okunması

Önemli

evet

hayır

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

Sunucu Tarafı İstek Sahtekarlığı (SSRF)

(CWE-918)

Rastgele kod yürütme

Kritik

evet

evet

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML Enjeksiyonu

(Kör XPath Enjeksiyonu) (CWE-91)

Rastgele kod yürütme

Kritik

hayır

hayır

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML Enjeksiyonu

(Kör XPath Enjeksiyonu) (CWE-91)

Rastgele kod yürütme

Kritik

evet

evet

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

  • Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • Broadway Photo Supply Limited (CVE-2021-36020) adına Trivani Pant

 

Revizyonlar

13 Ağustos, 2021: Adobe Commerce ile Magento/Magento commerce güncellendi. 

 


Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.

Adobe logosu

Hesabınıza giriş yapın