Adobe 安全公告

搜索

可用于 Magento 的安全更新 | APSB21-08

公告 ID

发布日期

优先级

ASPB21-08

2021 年 2 月 9 日

2

摘要

Magento 发布了 Magento Commerce 和 Magento Open Source 版本的更新。这些更新解决了一些重要关键的漏洞。如果成功利用这些漏洞,可能会导致任意代码执行。

受影响的版本

产品 版本 平台

Magento Commerce 
 2.4.1 及更早版本  
 全部
2.4.0-p1 及更早版本  
 全部
2.3.6 及更早版本 
 全部
Magento Open Source 

 2.4.1 及更早版本
 全部
2.4.0-p1 及更早版本
 全部
2.3.6 及更早版本 
 全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品 更新后的版本 平台 优先级 发行说明
Magento Commerce 
 2.4.2
 全部
 2

 

 

2.4.x 发行说明

2.3.x 发行说明
2.4.1-p1
 全部
 2
2.3.6-p1 全部
 2
Magento Open Source 
 2.4.2
 全部 2
2.4.1-p1
 全部 2
2.3.6-p1 全部
 2

漏洞详情

漏洞类别 漏洞影响 严重性 预身份验证? 需要管理员权限?

 Magento 错误 ID CVE 编号
不安全的直接对象引用 (IDOR)
 未经授权访问受限资源
 重要 

PRODSECBUG-2812
 CVE-2021-21012
不安全的直接对象引用 (IDOR)
 未经授权访问受限资源
 重要 

PRODSECBUG-2815
 CVE-2021-21013
绕过文件上传允许列表
 任意代码执行 
 关键

PRODSECBUG-2820
 CVE-2021-21014
安全旁路
 任意代码执行 
 关键

PRODSECBUG-2830
 CVE-2021-21015
安全旁路
 任意代码执行 
 关键

PRODSECBUG-2835
 CVE-2021-21016
命令注入
 任意代码执行 
 关键

PRODSECBUG-2845
 CVE-2021-21018
XML 注入
 任意代码执行 
 关键

PRODSECBUG-2847
 CVE-2021-21019
绕过访问控制
 未经授权访问受限资源
 重要 

PRODSECBUG-2849
 CVE-2021-21020
不安全的直接对象引用 (IDOR)
 未经授权访问受限资源
 重要 

PRODSECBUG-2863
 CVE-2021-21022
跨站点脚本(存储)
 浏览器中的任意 JavaScript 执行
 重要 

PRODSECBUG-2893
 CVE-2021-21023
盲型 SQL 注入
 未经授权访问受限资源
 重要 

PRODSECBUG-2896
 CVE-2021-21024
安全旁路
 任意代码执行 
 关键

PRODSECBUG-2900
 CVE-2021-21025
不正确的授权
 未经授权访问受限资源
 重要 

PRODSECBUG-2902
 CVE-2021-21026
跨站点请求伪造
 未经授权修改客户元数据
 中等

PRODSECBUG-2903
 CVE-2021-21027
跨站点脚本(反射型)
 浏览器中的任意 JavaScript 执行
 重要 

PRODSECBUG-2907
 CVE-2021-21029
跨站点脚本(存储) 浏览器中的任意 JavaScript 执行
 关键

PRODSECBUG-2912
 CVE-2021-21030
用户会话无效证据不足
 未经授权访问受限资源
 重要 

PRODSECBUG-2914
 CVE-2021-21031
用户会话无效证据不足
 未经授权访问受限资源
 重要 

MC-36608
 CVE-2021-21032
注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。 

关于本文档引用的 CVE 的其他技术说明,将会在 MITRENVD 网站上提供。

依赖项更新

依赖项

漏洞影响

受影响的版本


原型污染

2.4.2、2.4.1-p1、2.3.6-p1

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis(CVE-2021-21014、CVE-2021-21018、CVE-2021-21030)
  • Kien Hoang(Hoangkien1020)(CVE-2021-21014)
  • 来自 Bugscale 的 Edgar Boda-Majer(CVE-2021-21015、CVE-2021-21016、CVE-2021-21022)
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • 参与 SEC Consult Vulnerability Lab 的 Natsasit Jirathammanuwat (Office Thailand) (CVE-2021-21029)
  • Anas (CVE-2021-21031)

修订

2021 年 2 月 9 日:更新了有关 CVE-2021-21014 的鸣谢详细信息。

Adobe 徽标

登录到您的帐户

快速链接

查看您的所有计划 管理您的计划