Adobe Güvenlik Bülteni

Ara

Son güncelleme: 10 Eyl 2021 | Ayrıca şunun için geçerlidir: Digital Editions

Magento için güvenlik güncellemeleri mevcut | APSB21-30

Bülten No	Yayınlandığı Tarih	Öncelik
APSB30-21	11/05/2021	2

Özet

Bu açıktan başarıyla yararlanılırsa kısıtlı kaynaklara yetkisiz erişim gerçekleşebilir. Magento, Magento Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı.Bu güncellemeler önemli ve orta güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.

Etkilenen Sürümler

Ürün	Sürüm	Platform
Magento Commerce	2.4.2 ve önceki sürümler	Tümü
	2.4.1-p1 ve önceki sürümler	Tümü
	2.3.6-p1 ve önceki sürümler	Tümü
Magento Open Source	2.4.2 ve önceki sürümler	Tümü
	2.4.1-p1 ve önceki sürümler	Tümü
	2.3.6-p1 ve önceki sürümler	Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün	Güncellenen Sürüm	Platform	Öncelik Derecelendirme	Sürüm Notları
Magento Commerce	2.4.2-p1	Tümü	2	2.4.x sürüm notları 2.3.x sürüm notları
Magento Commerce	2.3.7	Tümü	2
Magento Open Source	2.4.2-p1	Tümü	2
Magento Open Source	2.3.7	Tümü	2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi	Güvenlik Açığı Etkisi	Önem Derecesi	Ön kimlik doğrulama?	Yönetici ayrıcalıkları gerekli?	Magento Bug ID	CVE numaraları
Bilgilerin Açığa Çıkması	Belge kök adresinin ifşa edilmesi	Orta Dereceli	No	Evet	PRODSECBUG-2927	CVE-2021-28566
Uygunsuz Yetkilendirme	Müşteri verisinin yetkisiz şekilde değiştirilmesi	Orta Dereceli	No	Evet	PRODSECBUG-2931	CVE-2021-28567
Çarpaz site dizgeleme (DOM-tabanlı)	Tarayıcıda gelişigüzel JavaScript çalıştırma	Önemli	Evet	No	PRODSECBUG-2918	CVE-2021-28556
Uygunsuz Yetkilendirme	Kısıtlı kaynaklara yetkisiz erişim	Orta Dereceli	No	Evet	PRODSECBUG-2935	CVE-2021-28563
Güvenli Tasarım İlkelerinin İhlali	Kısıtlı kaynaklara yetkisiz erişim	Orta Dereceli	No	Evet	PRODSECBUG-2943	CVE-2021-28583
Yol geçişi	Rastgele sistem dosyası yazılması	Orta Dereceli	No	Evet	PRODSECBUG-2957	CVE-2021-28584
Uygunsuz Giriş Doğrulaması	Güvenlik özelliği atlatması	Orta Dereceli	No	No	MC-39885	CVE-2021-28585

Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.

Bu belgede geçen CVE'lerin ek teknik açıklamaları MITRE ve NVD sitelerinde mevcut olacaktır.

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

Kien Hoang (CVE-2021-28567)
Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja) (CVE-2021-28566)
Charybdis (CVE-2021-28556)
Igor Wulff (CVE-2021-28583)
Derp47 (CVE-2021-28584)