Adobe-Sicherheitsbulletin

Suchen

Sicherheits-Updates für Magento verfügbar | APSB21-08

Bulletin-ID

Veröffentlichungsdatum

Priorität

ASPB21-08

09. Februar 2021      

2

Zusammenfassung

Magento hat Updates für Magento Commerce- und Magento Open Source-Editionen veröffentlicht.Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.    

Betroffene Versionen

Produkt Version Plattform

Magento Commerce 
 2.4.1 und frühere Versionen  
 Alle
2.4.0-p1 und frühere Versionen  
 Alle
2.3.6 und frühere Versionen 
 Alle
Magento Open Source 

 2.4.1 und frühere Versionen
 Alle
2.4.0-p1 und frühere Versionen
 Alle
2.3.6 und frühere Versionen 
 Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Versionshinweise
Magento Commerce 
 2.4.2
 Alle
 2

 

 

2.4.x – Versionshinweise

2.3.x – Versionshinweise
2.4.1-p1
 Alle
 2
2.3.6-p1 Alle
 2
Magento Open Source 
 2.4.2
 Alle 2
2.4.1-p1
 Alle 2
2.3.6-p1 Alle
 2

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Vorauthentifizierung? Sind Administratorrechte erforderlich?

 Magento-Fehler-ID CVE-Nummern
Unsichere direkte Objekt-Referenzen (IDOR)
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Nein
 PRODSECBUG-2812
 CVE-2021-21012
Unsichere direkte Objekt-Referenzen (IDOR)
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Nein
 PRODSECBUG-2815
 CVE-2021-21013
Umgehung der Dateiuploads-Zulassungsliste
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2820
 CVE-2021-21014
Sicherheitsbypass
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2830
 CVE-2021-21015
Sicherheitsbypass
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2835
 CVE-2021-21016
Befehlseinschleusung
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2845
 CVE-2021-21018
XML-Injektion
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2847
 CVE-2021-21019
Umgehung der Zugriffskontrolle
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Nein
 PRODSECBUG-2849
 CVE-2021-21020
Unsichere direkte Objekt-Referenzen (IDOR)
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Ja
 Nein
 PRODSECBUG-2863
 CVE-2021-21022
Cross-Site-Scripting (gespeichert)
 Willkürliche JavaScript-Ausführung im Browser
 Wichtig 
 Nein
 Ja
 PRODSECBUG-2893
 CVE-2021-21023
Blinde SQL-Injektion
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Ja
 PRODSECBUG-2896
 CVE-2021-21024
Sicherheitsbypass
 Willkürliche Ausführung von Code 
 Kritisch
 Nein
 Ja
 PRODSECBUG-2900
 CVE-2021-21025
Unzulässige Autorisierung
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Ja
 PRODSECBUG-2902
 CVE-2021-21026
Cross-Site Request Forgery
 Unberechtigte Änderung der Kundenmetadaten
 Mittel
 Nein
 Nein
 PRODSECBUG-2903
 CVE-2021-21027
Cross-Site-Scripting (reflektiert)
 Willkürliche JavaScript-Ausführung im Browser
 Wichtig 
 Ja
 Nein
 PRODSECBUG-2907
 CVE-2021-21029
Cross-Site-Scripting (gespeichert) Willkürliche JavaScript-Ausführung im Browser
 Kritisch
 Ja
 Nein
 PRODSECBUG-2912
 CVE-2021-21030
Unzureichende Aufhebung der Benutzersitzung
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Nein
 PRODSECBUG-2914
 CVE-2021-21031
Unzureichende Aufhebung der Benutzersitzung
 Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen
 Wichtig 
 Nein
 Nein
 MC-36608
 CVE-2021-21032
Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Zusätzliche technische Beschreibungen der in diesem Dokument genannten CVEs werden auf den MITRE- und NVD-Webseiten bereitgestellt.

Updates für Abhängigkeiten

Abhängigkeit

Sicherheitslückenauswirkung

Betroffene Versionen

Winkel

Verunreinigung durch Prototypen

2.4.2, 2.4.1-p1, 2.3.6-p1

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer von Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) in Zusammenarbeit mit SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Überarbeitungen

09. Februar 2021: Aktualisierte danksagungdetails über CVE-2021-21014.

Adobe-Logo

Bei Ihrem Konto anmelden

Hilfreiche Links

Alle Ihre Abos anzeigen Abos verwalten