米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月10日(現地時間)、「Adobe Releases Security Updates for Multiple Products |CISA」において、AdobeがAdobe ConnectおよびAdobe Magentoの複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、セキュリティ機能のバイパスや任意のコード実行、特権の昇格、任意のファイルシステムの読み取りなどの被害を受ける危険性がある。

各製品におけるアップデートの詳細はAdobeによる次のリリースノートにまとめられている。

  • Security updates available for Adobe Connect|APSB21-66

    Security updates available for Adobe Connect | APSB21-66

  • Security Updates Available for Magento|APSB21-64

    Security Updates Available for Magento | APSB21-64

影響を受ける製品およびバージョンは以下の通り。

  • Adobe Connect 11.2.2以前のバージョン
  • Magento Commerce 2.4.2以前のバージョン
  • Magento Commerce 2.4.2-p1以前のバージョン
  • Magento Commerce 2.3.7以前のバージョン
  • Magento Open Source 2.4.2-p1以前のバージョン
  • Magento Open Source 2.3.7以前のバージョン

今回のアップデートでは、Adobe Connectに対しては2件、Magentoに対しては16件の脆弱性の修正が行われている。それらのうち、Magentoにおける次の脆弱性は、重要度が最も高い"Critical"に分類されており特に注意する必要がある。

  • CVE-2021-36036: 不適切なアクセス制御に起因する任意のコード実行の脆弱性
  • CVE-2021-36029: 不適切な承認によってセキュリティ機能がバイパスできる脆弱性
  • CVE-2021-36044: 不適切な入力検証に起因するサービス拒否の脆弱性
  • CVE-2021-36032: 不適切な入力検証に起因する特権昇格の脆弱性
  • CVE-2021-36030: 不適切な入力検証によってセキュリティ機能がバイパスできる脆弱性
  • CVE-2021-36021,CVE-2021-36024,CVE-2021-36025,CVE-2021-36034,CVE-2021-36035,CVE-2021-36040,CVE-2021-36041,CVE-2021-36042: 不適切な入力検証に起因する任意のコード実行の脆弱性
  • CVE-2021-36031: パストラバーサルの脆弱性
  • CVE-2021-36022,CVE-2021-36023: OSコマンドインジェクションの脆弱性
  • CVE-2021-36043: サーバサイドリクエストフォージェリ(SSRF)の脆弱性
  • CVE-2021-36020: XMLインジェクションによる任意のコード実行の脆弱性
  • CVE-2021-36028,CVE-2021-36033: XMLインジェクションによる任意のコード実行の脆弱性