Bulletin de sécurité Adobe

Rechercher

Mises à jour de sécurité disponibles pour Magento | APSB21-08

Référence du bulletin

Date de publication

Priorité 

ASPB21-08

09 février 2021      

2

Récapitulatif

Magento a publié des mises à jour pour les éditions Magento Commerce et Magento Open Source.Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

Versions concernées

Produit Version  Plate-forme

Magento Commerce 
 2.4.1 et versions antérieures  
 Toutes
2.4.0-p1 et versions antérieures  
 Toutes
2.3.6 et versions antérieures 
 Toutes
Magento Open Source 

 2.4.1 et versions antérieures
 Toutes
2.4.0-p1 et versions antérieures
 Toutes
2.3.6 et versions antérieures 
 Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité Notes de mise à jour
Magento Commerce 
 2.4.2
 Toutes
 2

 

 

Notes de mise à jour 2.4.x

Notes de mise à jour 2.3.x
2.4.1-p1
 Toutes
 2
2.3.6-p1 Toutes
 2
Magento Open Source 
 2.4.2
 Toutes 2
2.4.1-p1
 Toutes 2
2.3.6-p1 Toutes
 2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Pré-authentification ? Droits d’administration requis ?

 ID de bogue Magento Références CVE
Référence directe non sécurisée à un objet (IDOR)
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Non
 PRODSECBUG-2812
 CVE-2021-21012
Référence directe non sécurisée à un objet (IDOR)
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Non
 PRODSECBUG-2815
 CVE-2021-21013
Contournement de la liste des chargements de fichiers autorisés
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2820
 CVE-2021-21014
Contournement de sécurité
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2830
 CVE-2021-21015
Contournement de sécurité
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2835
 CVE-2021-21016
Injection de commandes
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2845
 CVE-2021-21018
Injection de XML
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2847
 CVE-2021-21019
Contournement des contrôles d’accès
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Non
 PRODSECBUG-2849
 CVE-2021-21020
Référence directe non sécurisée à un objet (IDOR)
 Accès non autorisé aux ressources restreintes
 Important 
 Oui
 Non
 PRODSECBUG-2863
 CVE-2021-21022
Cross-site scripting (XSS stocké)
 Exécution arbitraire de code JavaScript dans le navigateur
 Important 
 Non
 Oui
 PRODSECBUG-2893
 CVE-2021-21023
Injection de SQL masquée
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Oui
 PRODSECBUG-2896
 CVE-2021-21024
Contournement de sécurité
 Exécution de code arbitraire 
 Critique
 Non
 Oui
 PRODSECBUG-2900
 CVE-2021-21025
Autorisation incorrecte
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Oui
 PRODSECBUG-2902
 CVE-2021-21026
Cross-site request forgery (CSRF)
 Modification non autorisée des métadonnées des clients
 Modéré
 Non
 Non
 PRODSECBUG-2903
 CVE-2021-21027
Cross-site scripting (XSS réfléchi)
 Exécution arbitraire de code JavaScript dans le navigateur
 Important 
 Oui
 Non
 PRODSECBUG-2907
 CVE-2021-21029
Cross-site scripting (XSS stocké) Exécution arbitraire de code JavaScript dans le navigateur
 Critique
 Oui
 Non
 PRODSECBUG-2912
 CVE-2021-21030
Invalidation insuffisante de la session utilisateur
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Non
 PRODSECBUG-2914
 CVE-2021-21031
Invalidation insuffisante de la session utilisateur
 Accès non autorisé aux ressources restreintes
 Important 
 Non
 Non
 MC-36608
 CVE-2021-21032
Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

D’autres descriptions techniques concernant les CVE spécifiées dans ce document seront disponibles sur les sites MITRE et NVD.

Mises à jour des dépendances

Dépendance

Impact de la vulnérabilité

Versions concernées

Angulaire

Pollution des prototypes

2.4.2, 2.4.1-p1, 2.3.6-p1

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O’Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) en collaboration avec avec SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Révisions

9 février 2021 : Détails de remerciement mise à jour concernant la CVE-2021-21014.

Logo Adobe

Accéder à votre compte

Liens rapides

Voir toutes vos formules Gérer vos formules

Interroger la communauté

Posez vos questions et obtenez des réponses des membres de la communauté Adobe.

Poser une question

En savoir plus

Contactez-nous et échangez avec nos experts sur les sujets qui vous intéressent.

Nous contacter
^ Haut de la page