Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Magento | APSB21-08

ID bollettino

Data di pubblicazione

Priorità

ASPB21-08

09 febbraio 2021      

2

Riepilogo

Magento ha rilasciato aggiornamenti per le versioni Magento Commerce e Magento Open Source. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.    

Versioni interessate

Prodotto Versione Piattaforma

Magento Commerce 
2.4.1 e versioni precedenti  
Tutte
2.4.0-p1 e versioni precedenti  
Tutte
2.3.6 e versioni precedenti 
Tutte
Magento Open Source 

2.4.1 e versioni precedenti
Tutte
2.4.0-p1 e versioni precedenti
Tutte
2.3.6 e versioni precedenti 
Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto Versione aggiornata Piattaforma Livello di priorità Note sul rilascio
Magento Commerce 
2.4.2
Tutte
2

 

 

Note sulla versione 2.4.x

Note sulla versione 2.3.x

2.4.1-p1
Tutte
2
2.3.6 p^1 Tutte
2
Magento Open Source 
2.4.2
Tutte 2
2.4.1-p1
Tutte 2
2.3.6 p^1 Tutte
2

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Pre-autenticazione? Sono necessari i privilegi di amministratore?

Magento Bug ID Codici CVE
Riferimento a oggetti diretti non sicuri (IDOR)
Accesso non autorizzato a risorse limitate
Importante 
No
No
PRODSECBUG-2812
CVE-2021-21012
Riferimento a oggetti diretti non sicuri (IDOR)
Accesso non autorizzato a risorse limitate
Importante 
No
No
PRODSECBUG-2815
CVE-2021-21013
Ignora elenco caricamento file consentiti
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2820
CVE-2021-21014
Aggiramento della protezione
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2830
CVE-2021-21015
Aggiramento della protezione
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2835
CVE-2021-21016
Iniezione comando
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2845
CVE-2021-21018
XML injection
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2847
CVE-2021-21019
Access control bypass
Accesso non autorizzato a risorse limitate
Importante 
No
No
PRODSECBUG-2849
CVE-2021-21020
Riferimento a oggetti diretti non sicuri (IDOR)
Accesso non autorizzato a risorse limitate
Importante 

No
PRODSECBUG-2863
CVE-2021-21022
Cross-site scripting (salvato)
Esecuzione arbitraria di JavaScript nel browser
Importante 
No

PRODSECBUG-2893
CVE-2021-21023
Blind SQL injection
Accesso non autorizzato a risorse limitate
Importante 
No

PRODSECBUG-2896
CVE-2021-21024
Aggiramento della protezione
Esecuzione di codice arbitrario 
Critica
No

PRODSECBUG-2900
CVE-2021-21025
Autorizzazione impropria
Accesso non autorizzato a risorse limitate
Importante 
No

PRODSECBUG-2902
CVE-2021-21026
Cross-site request forgery
Modifica non autorizzata dei metadati cliente
Moderato
No
No
PRODSECBUG-2903
CVE-2021-21027
vulnerabilità cross-site scripting (riflesso)
Esecuzione arbitraria di JavaScript nel browser
Importante 

No
PRODSECBUG-2907
CVE-2021-21029
Cross-site scripting (salvato) Esecuzione arbitraria di JavaScript nel browser
Critica

No
PRODSECBUG-2912
CVE-2021-21030
Annullamento convalida insufficiente della sessione utente
Accesso non autorizzato a risorse limitate
Importante 
No
No
PRODSECBUG-2914
CVE-2021-21031
Annullamento convalida insufficiente della sessione utente
Accesso non autorizzato a risorse limitate
Importante 
No
No
MC-36608
CVE-2021-21032
Nota:

Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.   

Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.  

Ulteriori descrizioni tecniche dei CVE citati nel presente documento saranno disponibili sui siti MITRE e NVD .

Aggiornamenti alle dipendenze

Dipendenza

Impatto della vulnerabilità

Versioni interessate

Angolare

Prototype Pollution

2.4.2, 2.4.1-p1, 2.3.6-p1

Ringraziamenti

Adobe desidera ringraziare le persone indicate di seguito per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer di Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) in collaborazione con SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisioni

09 febbraio 2021: aggiornati i dettagli di riconoscimento su CVE-2021-21014.

Logo Adobe

Accedi al tuo account