Beveiligingsadvies van Adobe

Zoeken

Beveiligingsupdates beschikbaar voor Magento | APSB21-30

Bulletin-id

Publicatiedatum

Prioriteit

ASPB30-21

11 mei 2021      

2

Samenvatting

Misbruik van deze kwetsbaarheden kan leiden tot ongeautoriseerde toegang tot de beperkte bronnen. Magento heeft updates uitgebracht voor Magento Commerce- en Magento Open Source-edities.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product Versie Platform

Magento Commerce 
 2.4.2 en eerdere versies  
 Alles
2.4.1-p1 en eerdere versies  
 Alles
2.3.6-p1 en eerdere versies 
 Alles
Magento Open Source 

 2.4.2 en eerdere versies
 Alles
2.4.1-p1 en eerdere versies
 Alles
2.3.6-p1 en eerdere versies 
 Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Releaseopmerkingen
Magento Commerce 2.4.2-p1
 Alles
 2

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x
2.3.7 Alles
 2
Magento Open Source 
 2.4.2-p1
 Alles 2
2.3.7 Alles
 2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

 Magento Bug ID CVE-nummers
Openbaarmaking van informatie 
 Openbaarmaking van pad documentoorsprong 
 Matig
 Nee
 Ja
 PRODSECBUG-2927
 CVE-2021-28566
Onjuiste autorisatie 
 Ongeautoriseerde wijziging van klantengegevens  Gemiddeld 
 
 Nee
 Ja PRODSECBUG-2931
 CVE-2021-28567
Scripts die verwijzen naar andere sites (DOM-gebaseerd)
 Arbitraire uitvoering van JavaScript in de browser
 Belangrijk
 Ja Nee PRODSECBUG-2918
 CVE-2021-28556
Onjuiste autorisatie
 Ongeautoriseerde toegang tot beperkte bronnen
 Matig
 Nee
 Ja
 PRODSECBUG-2935
 CVE-2021-28563
Schending van de principes van Secure Design
 Ongeautoriseerde toegang tot beperkte bronnen
 Matig 
 Nee
 Ja
 PRODSECBUG-2943
 CVE-2021-28583
Path traversal
 Schrijven van willekeurige bestandssystemen
 Matig
 Nee
 Ja
 PRODSECBUG-2957
 CVE-2021-28584
Onjuiste invoervalidatie
 Omzeiling van beveiligingsfunctie
 Matig
 Nee
 Nee MC-39885
 CVE-2021-28585
Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Kien Hoang (CVE-2021-28567) 
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Snelle koppelingen

Al je lidmaatschappen weergeven Je lidmaatschappen beheren
Snelle koppelingen weergeven
Snelle koppelingen verbergen

Vraag het de community

Vragen stellen en antwoord krijgen van experts.

Nu vragen

Contact met ons opnemen

Echte hulp van echte mensen.

Nu starten
^ Naar boven