Adobe 安全性公告

發佈 Adobe Commerce 的安全性更新 | APSB21-64

安全性公告 ID

發佈日期

優先順序

APSB21-64

2021 年 8 月 11 日      

2

摘要

Magento 已發佈 Adobe Commerce 與 Magento Open Source 各版本的更新。這些更新旨在解決多項重大重要弱點。這些弱點一旦遭有心人士利用,可能會導致系統執行任意程式碼。

受影響的版本

產品 版本 平台
Adobe Commerce
2.4.2 (含) 以前版本
全部
2.4.2-p1 (含) 以前版本  
全部
2.3.7 (含) 以前版本 
全部
Magento Open Source 

2.4.2-p1 (含) 以前版本
全部
2.3.7 (含) 以前版本
全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。

產品 已更新的版本 平台 優先順序分級 發行說明
Adobe Commerce
2.4.3
全部
2

2.4.x 發行說明

2.3.x 發行說明

2.4.2-p2
全部
2
2.3.7-p1
全部
2
Magento Open Source 
2.4.3
全部
2
2.4.2-p2
全部 2
2.3.7-p1 
全部
2

弱點詳細資料

弱點類別 弱點影響 嚴重性 需預先驗證身分? 需有管理員權限?

CVSS 基本評分
CVSS 向量
Magento 錯誤 ID CVE 編號
商業邏輯錯誤 (CWE-840)

安全功能無故略過

 重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2934

CVE-2021-36012

跨網站指令碼 (已儲存 XSS) (CWE-79)

任意執行程式碼

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

PRODSECBUG-2963

PRODSECBUG-2964

CVE-2021-36026

CVE-2021-36027

 

存取控制不當 (CWE-284)

任意執行程式碼

重大

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2977

CVE-2021-36036

不當授權 (CWE-285)

安全功能無故略過

重大

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2968

CVE-2021-36029

不當授權 (CWE-285)

安全功能無故略過

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2980

CVE-2021-36037

輸入驗證不當 (CWE-20)

應用程式拒絕提供服務

重大

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

PRODSECBUG-3004

CVE-2021-36044

輸入驗證不當 (CWE-20)

權限提升

重大

8.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

PRODSECBUG-2971

CVE-2021-36032

輸入驗證不當 (CWE-20)

安全功能無故略過

重大

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

 PRODSECBUG-2969

CVE-2021-36030

輸入驗證不當 (CWE-20)

安全功能無故略過

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2982

CVE-2021-36038

輸入驗證不當 (CWE-20)

任意執行程式碼

重大

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2959

 PRODSECBUG-2960

 PRODSECBUG-2962

PRODSECBUG-2975

PRODSECBUG-2976

PRODSECBUG-2987

PRODSECBUG-2988

PRODSECBUG-2992

CVE-2021-36021

CVE-2021-36024

CVE-2021-36025

CVE-2021-36034

CVE-2021-36035

CVE-2021-36040

CVE-2021-36041

CVE-2021-36042

造訪路徑

(CWE-22)

任意執行程式碼

重大

7.2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

PRODSECBUG-2970

CVE-2021-36031

作業系統指令插入 (CWE-78)

任意執行程式碼

重大

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2958

PRODSECBUG-2960

CVE-2021-36022

CVE-2021-36023

不正確的授權 (CWE-863)

檔案系統任意寫入

重要

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

PRODSECBUG-2984

CVE-2021-36039

伺服器端偽造要求 (SSRF)

(CWE-918)

任意執行程式碼

重大

8

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

PRODSECBUG-2996

CVE-2021-36043

XML 插入

(又稱盲 XPath 插入) (CWE-91)

任意執行程式碼

重大

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

PRODSECBUG-2937

CVE-2021-36020

XML 插入

(又稱盲 XPath 插入) (CWE-91)

任意執行程式碼

重大

9.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

 PRODSECBUG-2965

PRODSECBUG-2972

CVE-2021-36028

CVE-2021-36033

註解:

預先驗證身分:不需憑證即可利用弱點。   

需有管理員權限:只有擁有管理權限的攻擊者可以利用弱點。  

鳴謝

Adobe 在此感謝以下人員提報相關問題,與 Adobe 共同保護客戶:

  • Blaklis (CVE-2021-36023、CVE-2021-36026、CVE-2021-36027、CVE-2021-36036、CVE-2021-36029、CVE-2021-36021、CVE-2021-36024、CVE-2021-36025、CVE-2021-36034、CVE-2021-36035、CVE-2021-36031)
  • Igorsdv (CVE-2021-36012)
  • Zb3 (CVE-2021-36037、CVE-2021-36032、CVE-2021-36038、CVE-2021-36040、CVE-2021-36041、CVE-2021-36042、CVE-2021-36039、CVE-2021-36043、CVE-2021-36033、CVE-2021-36028)
  • Dftrace (CVE-2021-36044)
  • Floorz (CVE-2021-36030)
  • Eboda (CVE-2021-36022)
  • 代表 Broadway Photo Supply Limited 的 Trivani Pant (CVE-2021-36020)

 

修訂

2021 年 8 月 3 日:以 Adobe Commerce 更新 Magento/Magento Commerce。 

 


如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。

 Adobe

更快、更輕鬆地獲得協助

新的使用者?