Adobe 安全公告

可用于 Magento 的安全更新 | APSB21-08

公告 ID

发布日期

优先级

ASPB21-08

2021 年 2 月 9 日

2

摘要

Magento 发布了 Magento Commerce 和 Magento Open Source 版本的更新。这些更新解决了一些重要关键的漏洞。如果成功利用这些漏洞,可能会导致任意代码执行。

受影响的版本

产品 版本 平台

Magento Commerce 
2.4.1 及更早版本  
全部
2.4.0-p1 及更早版本  
全部
2.3.6 及更早版本 
全部
Magento Open Source 

2.4.1 及更早版本
全部
2.4.0-p1 及更早版本
全部
2.3.6 及更早版本 
全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 发行说明
Magento Commerce 
2.4.2
全部
2

 

 

2.4.x 发行说明

2.3.x 发行说明

2.4.1-p1
全部
2
2.3.6-p1 全部
2
Magento Open Source 
2.4.2
全部 2
2.4.1-p1
全部 2
2.3.6-p1 全部
2

漏洞详情

漏洞类别 漏洞影响 严重性 预身份验证? 需要管理员权限?

Magento 错误 ID CVE 编号
不安全的直接对象引用 (IDOR)
未经授权访问受限资源
重要 


PRODSECBUG-2812
CVE-2021-21012
不安全的直接对象引用 (IDOR)
未经授权访问受限资源
重要 


PRODSECBUG-2815
CVE-2021-21013
绕过文件上传允许列表
任意代码执行 
关键


PRODSECBUG-2820
CVE-2021-21014
安全旁路
任意代码执行 
关键


PRODSECBUG-2830
CVE-2021-21015
安全旁路
任意代码执行 
关键


PRODSECBUG-2835
CVE-2021-21016
命令注入
任意代码执行 
关键


PRODSECBUG-2845
CVE-2021-21018
XML 注入
任意代码执行 
关键


PRODSECBUG-2847
CVE-2021-21019
绕过访问控制
未经授权访问受限资源
重要 


PRODSECBUG-2849
CVE-2021-21020
不安全的直接对象引用 (IDOR)
未经授权访问受限资源
重要 


PRODSECBUG-2863
CVE-2021-21022
跨站点脚本(存储)
浏览器中的任意 JavaScript 执行
重要 


PRODSECBUG-2893
CVE-2021-21023
盲型 SQL 注入
未经授权访问受限资源
重要 


PRODSECBUG-2896
CVE-2021-21024
安全旁路
任意代码执行 
关键


PRODSECBUG-2900
CVE-2021-21025
不正确的授权
未经授权访问受限资源
重要 


PRODSECBUG-2902
CVE-2021-21026
跨站点请求伪造
未经授权修改客户元数据
中等


PRODSECBUG-2903
CVE-2021-21027
跨站点脚本(反射型)
浏览器中的任意 JavaScript 执行
重要 


PRODSECBUG-2907
CVE-2021-21029
跨站点脚本(存储) 浏览器中的任意 JavaScript 执行
关键


PRODSECBUG-2912
CVE-2021-21030
用户会话无效证据不足
未经授权访问受限资源
重要 


PRODSECBUG-2914
CVE-2021-21031
用户会话无效证据不足
未经授权访问受限资源
重要 


MC-36608
CVE-2021-21032
注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。 

关于本文档引用的 CVE 的其他技术说明,将会在 MITRENVD 网站上提供。

依赖项更新

依赖项

漏洞影响

受影响的版本


原型污染

2.4.2、2.4.1-p1、2.3.6-p1

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis(CVE-2021-21014、CVE-2021-21018、CVE-2021-21030)
  • Kien Hoang(Hoangkien1020)(CVE-2021-21014)
  • 来自 Bugscale 的 Edgar Boda-Majer(CVE-2021-21015、CVE-2021-21016、CVE-2021-21022)
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • 参与 SEC Consult Vulnerability Lab 的 Natsasit Jirathammanuwat (Office Thailand) (CVE-2021-21029)
  • Anas (CVE-2021-21031)

修订

2021 年 2 月 9 日:更新了有关 CVE-2021-21014 的鸣谢详细信息。

 Adobe

更快、更轻松地获得帮助

新用户?

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX 2024

Adobe MAX
创意大会

10 月 14 日至 16 日迈阿密海滩及线上

Adobe MAX

创意大会

10 月 14 日至 16 日迈阿密海滩及线上