Бюллетень безопасности Adobe

Поиск

Последнее обновление 10 сент. 2021 г. | Также применяется к Digital Editions

Обновления системы безопасности для Magento | APSB21-30

Идентификатор бюллетеня	Дата публикации	Приоритет
ASPB30-21	11 мая 2021 г.	2

Сводка

Успешное использование могло привести к несанкционированному доступу к ресурсам, предназначенным для внутреннего пользования. Компания Magento выпустила обновления для версий Magento Commerce и Magento Open Source.В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические. При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.

Затронутые версии

Продукт	Версия	Платформа
Magento Commerce	2.4.2 и более ранние версии	Все
	2.4.1-p1 и более ранние версии	Все
	2.3.6-p1 и более ранние версии	Все
Magento Open Source	2.4.2 и более ранние версии	Все
	2.4.1-p1 и более ранние версии	Все
	2.3.6-p1 и более ранние версии	Все

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Сведения о выпуске
Magento Commerce	2.4.2-p1	Все	2	Заметки о выпуске 2.4.x Заметки о выпуске 2.3.x
Magento Commerce	2.3.7	Все	2
Magento Open Source	2.4.2-p1	Все	2
Magento Open Source	2.3.7	Все	2

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Предварительная проверка подлинности?	Требуются права администратора?	Magento Bug ID	Номера CVE
Раскрытие информации	Предоставление пути к корневой папке документа	Средняя	Нет	Да	PRODSECBUG-2927	CVE-2021-28566
Неверная авторизация	Несанкционированное изменение данных заказчиков	Средняя	Нет	Да	PRODSECBUG-2931	CVE-2021-28567
Межсайтовый скриптинг (на основе DOM)	Выполнение произвольного сценария JavaScript в браузере	Важная	Да	Нет	PRODSECBUG-2918	CVE-2021-28556
Неверная авторизация	Несанкционированный доступ к ресурсам с ограниченным доступом	Средняя	Нет	Да	PRODSECBUG-2935	CVE-2021-28563
Нарушение принципов безопасного проектирования	Несанкционированный доступ к ресурсам с ограниченным доступом	Средняя	Нет	Да	PRODSECBUG-2943	CVE-2021-28583
Обход каталога	Запись в произвольную файловую систему	Средняя	Нет	Да	PRODSECBUG-2957	CVE-2021-28584
Проверка неправильного ввода	Обход функции безопасности	Средняя	Нет	Нет	MC-39885	CVE-2021-28585

Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.

Дополнительные технические описания уязвимостей CVE, упоминаемых в этом документе, будут доступны на сайтах MITRE и NVD.

Благодарности

Компания Adobe приносит следующим людям благодарность за сообщение о значимых проблемах и за помощь Adobe в обеспечении защиты наших клиентов:   

Киен Хоанг (CVE-2021-28567)
Нусвантара Гадинг Альфа Путранто - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)