Boletim de segurança da Adobe

Pesquisar

Atualizações de segurança disponíveis para Magento | APSB21-08

ID do boletim

Data de publicação

Prioridade

ASPB21-08

09 de fevereiro de 2021      

2

Resumo

A Magento lançou atualizações para as edições do Magento Commerce e do Magento Open Source. Essas atualizações resolvem vulnerabilidades de classificação Importante e Crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.    

Versões afetadas

Produto Versão Plataforma

Magento Commerce 
 2.4.1 e versões anteriores  
 Todos
2.4.0-p1 e versões anteriores  
 Todos
2.3.6 e versões anteriores 
 Todos
Magento Open Source 

 2.4.1 e versões anteriores
 Todos
2.4.0-p1 e versões anteriores
 Todos
2.3.6 e versões anteriores 
 Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Notas de versão
Magento Commerce 
 2.4.2
 Todos
 2

 

 

Notas de versão 2.4.x

Notas de versão 2.3.x
2.4.1-p1
 Todos
 2
2.3.6-p1 Todos
 2
Magento Open Source 
 2.4.2
 Todos 2
2.4.1-p1
 Todos 2
2.3.6-p1 Todos
 2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pré-autenticação? Privilégios de administrador necessários?

 ID de Bug do Magento Números CVE
Referência de objeto direto insegura (IDOR)
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Não
 PRODSECBUG-2812
 CVE-2021-21012
Referência de objeto direto insegura (IDOR)
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Não
 PRODSECBUG-2815
 CVE-2021-21013
Ignorar lista de permissões de upload de arquivos
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2820
 CVE-2021-21014
Bypass de segurança
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2830
 CVE-2021-21015
Bypass de segurança
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2835
 CVE-2021-21016
Injeção de comando
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2845
 CVE-2021-21018
Injeção de XML
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2847
 CVE-2021-21019
Ignorar controle de acesso
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Não
 PRODSECBUG-2849
 CVE-2021-21020
Referência de objeto direto insegura (IDOR)
 Acesso não autorizado a recursos restritos
 Importante 
 Sim
 Não
 PRODSECBUG-2863
 CVE-2021-21022
Criação de script entre sites (armazenado)
 Execução arbitrária de JavaScript no navegador
 Importante 
 Não
 Sim
 PRODSECBUG-2893
 CVE-2021-21023
Injeção de SQL cega
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Sim
 PRODSECBUG-2896
 CVE-2021-21024
Bypass de segurança
 Execução de código arbitrária 
 Crítico
 Não
 Sim
 PRODSECBUG-2900
 CVE-2021-21025
Autorização indevida
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Sim
 PRODSECBUG-2902
 CVE-2021-21026
Falsificação de solicitação entre sites
 Modificação não autorizada de metadados de clientes
 Moderado
 Não
 Não
 PRODSECBUG-2903
 CVE-2021-21027
Criação de script entre sites (refletido)
 Execução arbitrária de JavaScript no navegador
 Importante 
 Sim
 Não
 PRODSECBUG-2907
 CVE-2021-21029
Criação de script entre sites (armazenado) Execução arbitrária de JavaScript no navegador
 Crítico
 Sim
 Não
 PRODSECBUG-2912
 CVE-2021-21030
Invalidação insuficiente da sessão do usuário
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Não
 PRODSECBUG-2914
 CVE-2021-21031
Invalidação insuficiente da sessão do usuário
 Acesso não autorizado a recursos restritos
 Importante 
 Não
 Não
 MC-36608
 CVE-2021-21032
Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.   

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.  

Descrições técnicas adicionais dos CVE mencionados neste documento serão disponibilizadas nos sites de MITRE e NVD.

Atualizações das dependências

Dependência

Impacto da vulnerabilidade

Versões afetadas

Angular

Poluição de protótipo

2.4.2, 2.4.1-p1, 2.3.6-p1

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer da Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lu (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) trabalhando com o Laboratório de Vulnerabilidade SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisões

09 de fevereiro de 2021: Detalhes atualizados de agradecimento sobre o CVE-2021-21014.

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Links rápidos

Veja todos os seus planos Gerenciar seus planos
Ver links rápidos
Ocultar links rápidos