Adobe セキュリティ速報

検索

Magento に関するセキュリティアップデート公開 | APSB21-30

情報 ID

公開日

優先度

ASPB30-21

2021年5月11日      

2

要約

この脆弱性が悪用されると、制限されたリソースへの不正アクセスにつながる可能性があります。Magento は Magento Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。    

対象のバージョン

製品名 バージョン プラットフォーム

Magento Commerce 
 2.4.2 とそれ以前のバージョン  
 すべて
2.4.1-p1 以前のバージョン  
 すべて
2.3.6-p1 以前のバージョン 
 すべて
Magento オープンソース 

 2.4.2 とそれ以前のバージョン
 すべて
2.4.1-p1 以前のバージョン
 すべて
2.3.6-p1 以前のバージョン 
 すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデート後のバージョン プラットフォーム 優先度評価 リリースノート
Magento Commerce 2.4.2-p1
 すべて
 2

2.4.x リリースノート

2.3.x リリースノート
2.3.7 すべて
 2
Magento オープンソース 
 2.4.2-p1
 すべて 2
2.3.7 すべて
 2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 事前認証? 管理者権限が必要ですか?

 Magento Bug ID CVE 番号
情報漏えい 
 ドキュメントルートパスの開示 
 中度
 いいえ
 はい
 PRODSECBUG-2927
 CVE-2021-28566
不適切な認証 
 顧客データの不正変更  中度 
 
 いいえ
 はい PRODSECBUG-2931
 CVE-2021-28567
クロスサイトスクリプティング(DOM ベース)
 ブラウザーでの任意の JavaScript 実行
 重要
 はい いいえ PRODSECBUG-2918
 CVE-2021-28556
不適切な認証
 制限されたリソースへの不正アクセス
 中度
 いいえ
 はい
 PRODSECBUG-2935
 CVE-2021-28563
安全な設計原則の違反
 制限されたリソースへの不正アクセス
 中度 
 いいえ
 はい
 PRODSECBUG-2943
 CVE-2021-28583
パストラバーサル
 任意のファイルシステム書き込み
 中度
 いいえ
 はい
 PRODSECBUG-2957
 CVE-2021-28584
不適切な入力検証
 セキュリティ機能のバイパス
 中度
 いいえ
 いいえ MC-39885
 CVE-2021-28585
注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Kien Hoang 氏(CVE-2021-28567)
  • Nuswantara Gading Alfa Putranto - Ethic Ninja (https://ethic.ninja)(CVE-2021-28566)
  • Charybdis (CVE-2021-28556)
  • Igor Wulff (CVE-2021-28583)
  • Derp47 (CVE-2021-28584)

 

ヘルプをすばやく簡単に入手

新規ユーザーの場合

クイックリンク

すべてのプランを表示 プランを管理
クイックリンクを表示する
クイックリンクを非表示にする
Adobe MAX 2025

Adobe MAX Japan
クリエイターの祭典

2025 年 2 月 13 日
東京ビッグサイト

詳しく見る

アドビサポートコミュニティ

使い方についての質問やCreator同士の情報交換ができます。気軽に質問してみましょう。

質問する

サポート

個別対応による実践的なヘルプ

利用する
^ ページの先頭へ