Bülten No
Adobe Commerce için Güvenlik Güncellemesi Mevcut | APSB21-64
|
Yayınlandığı Tarih |
Öncelik |
---|---|---|
APSB21-64 |
11 Ağustos 2021 |
2 |
Özet
Etkilenen Sürümler
Ürün | Sürüm | Platform |
---|---|---|
Adobe Commerce |
2.4.2 ve önceki sürümler |
Tümü |
2.4.2-p1 ve önceki sürümler |
Tümü | |
2.3.7 ve önceki sürümler |
Tümü |
|
Magento Open Source |
2.4.2-p1 ve önceki sürümler |
Tümü |
2.3.7 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Ürün | Güncellenen Sürüm | Platform | Öncelik Derecelendirme | Sürüm Notları |
---|---|---|---|---|
Adobe Commerce |
2.4.3 |
Tümü |
2 |
|
2.4.2-p2 |
Tümü |
2 |
||
2.3.7-p1 |
Tümü |
2 |
||
Magento Open Source |
2.4.3 |
Tümü |
2 |
|
2.4.2-p2 |
Tümü | 2 | ||
2.3.7-p1 |
Tümü |
2 |
Güvenlik açığı detayları
Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Ön kimlik doğrulama? | Yönetici ayrıcalıkları gerekli? |
CVSS baz skoru |
CVSS vektörü |
Magento Bug ID | CVE numaraları |
---|---|---|---|---|---|---|---|---|
İş Mantığı Hataları (CWE-840) |
Güvenlik özelliği atlatması |
Önemli |
evet |
hayır |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2934 |
CVE-2021-36012 |
Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Rastgele kod yürütme |
Önemli |
hayır |
hayır |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
PRODSECBUG-2963 PRODSECBUG-2964 |
CVE-2021-36026 CVE-2021-36027
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2977 |
CVE-2021-36036 |
Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Kritik |
evet |
evet |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2968 |
CVE-2021-36029 |
Uygunsuz Yetkilendirme (CWE-285) |
Güvenlik özelliği atlatması |
Önemli |
hayır |
hayır |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2980 |
CVE-2021-36037 |
Uygunsuz Giriş Doğrulaması (CWE-20) |
Uygulama hizmet engelleme |
Kritik |
No |
hayır |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
PRODSECBUG-3004 |
CVE-2021-36044 |
Uygunsuz Giriş Doğrulaması (CWE-20) |
Ayrıcalığı yükseltme |
Kritik |
evet |
hayır |
8.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L |
PRODSECBUG-2971 |
CVE-2021-36032 |
Uygunsuz Giriş Doğrulaması (CWE-20) |
Güvenlik özelliği atlatması |
Kritik |
hayır |
hayır |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
PRODSECBUG-2969 |
CVE-2021-36030 |
Uygunsuz Giriş Doğrulaması (CWE-20) |
Güvenlik özelliği atlatması |
Önemli |
hayır |
hayır |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2982 |
CVE-2021-36038 |
Uygunsuz Giriş Doğrulaması (CWE-20) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2959 PRODSECBUG-2960 PRODSECBUG-2962 PRODSECBUG-2975 PRODSECBUG-2976 PRODSECBUG-2987 PRODSECBUG-2988 PRODSECBUG-2992 |
CVE-2021-36021 CVE-2021-36024 CVE-2021-36025 CVE-2021-36034 CVE-2021-36035 CVE-2021-36040 CVE-2021-36041 CVE-2021-36042 |
Yol Geçişi (CWE-22) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
7.2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
PRODSECBUG-2970 |
CVE-2021-36031 |
OS Komut Ekleme (CWE-78) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2958 PRODSECBUG-2960 |
CVE-2021-36022 CVE-2021-36023 |
Yanlış Yetkilendirme(CWE-863) |
Rastgele sistem dosyası okunması |
Önemli |
evet |
hayır |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
PRODSECBUG-2984 |
CVE-2021-36039 |
Sunucu Tarafı İstek Sahtekarlığı (SSRF) (CWE-918) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
8 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2996 |
CVE-2021-36043 |
XML Enjeksiyonu (Kör XPath Enjeksiyonu) (CWE-91) |
Rastgele kod yürütme |
Kritik |
hayır |
hayır |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
PRODSECBUG-2937 |
CVE-2021-36020 |
XML Enjeksiyonu (Kör XPath Enjeksiyonu) (CWE-91) |
Rastgele kod yürütme |
Kritik |
evet |
evet |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
PRODSECBUG-2965 PRODSECBUG-2972 |
CVE-2021-36028 CVE-2021-36033 |
Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.
Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Blaklis (CVE-2021-36023, CVE-2021-36026, CVE-2021-36027, CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36031)
- Igorsdv (CVE-2021-36012)
- Zb3 (CVE-2021-36037, CVE-2021-36032, CVE-2021-36038, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36039, CVE-2021-36043, CVE-2021-36033, CVE-2021-36028)
- Dftrace (CVE-2021-36044)
- Floorz (CVE-2021-36030)
- Eboda (CVE-2021-36022)
- Broadway Photo Supply Limited (CVE-2021-36020) adına Trivani Pant
Revizyonlar
13 Ağustos, 2021: Adobe Commerce ile Magento/Magento commerce güncellendi.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.