Bezpečnostní bulletin společnosti Adobe

Hledat

Zveřejnění aktualizací zabezpečení pro Magento | APSB21-08

ID bulletinu

Datum zveřejnění

Priorita

ASPB21-08

9. února 2021      

2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako důležitékritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.    

Dotčené verze

Produkt Verze Platforma

Magento Commerce 
 2.4.1 a starší verze  
 Vše
2.4.0-p1 a starší verze  
 Vše
2.3.6 a starší verze 
 Vše
Magento Open Source 

 2.4.1 a starší verze
 Vše
2.4.0-p1 a starší verze 
 Vše
2.3.6 a starší verze 
 Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt Aktualizovaná verze Platforma Úroveň priority Poznámky k verzi
Magento Commerce 
 2.4.2
 Vše
 2

 

 

Poznámky k verzi 2.4.x

Poznámky k verzi 2.3.x
2.4.1-p1
 Vše
 2
2.3.6-p1 Vše
 2
Magento Open Source 
 2.4.2
 Vše 2
2.4.1-p1
 Vše 2
2.3.6-p1 Vše
 2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Předběžné ověření? Jsou vyžadována oprávnění správce?

 ID chyby Magento Čísla CVE
Nezabezpečená přímá reference na objekt (IDOR)
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ne
 PRODSECBUG-2812
 CVE-2021-21012
Nezabezpečená přímá reference na objekt (IDOR)
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ne
 PRODSECBUG-2815
 CVE-2021-21013
Obejití seznamu souborů, které lze nahrát
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2820
 CVE-2021-21014
Překonání prvků zabezpečení
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2830
 CVE-2021-21015
Překonání prvků zabezpečení
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2835
 CVE-2021-21016
Vložení příkazu
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2845
 CVE-2021-21018
Injekce XML
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2847
 CVE-2021-21019
Obejití řízení přístupu
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ne
 PRODSECBUG-2849
 CVE-2021-21020
Nezabezpečená přímá reference na objekt (IDOR)
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ano
 Ne
 PRODSECBUG-2863
 CVE-2021-21022
Cross-site scripting (uložený)
 Samovolné spuštění JavaScriptu v prohlížeči
 Důležitá 
 Ne
 Ano
 PRODSECBUG-2893
 CVE-2021-21023
Slepá injekce SQL
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ano
 PRODSECBUG-2896
 CVE-2021-21024
Překonání prvků zabezpečení
 Svévolné spuštění kódu 
 Kritická
 Ne
 Ano
 PRODSECBUG-2900
 CVE-2021-21025
Nesprávná autorizace
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ano
 PRODSECBUG-2902
 CVE-2021-21026
Padělání žádosti poslané mezi weby
 Neoprávněná úprava metadat zákazníků
 Střední
 Ne
 Ne
 PRODSECBUG-2903
 CVE-2021-21027
Cross-site scripting (reflektovaný)
 Samovolné spuštění JavaScriptu v prohlížeči
 Důležitá 
 Ano
 Ne
 PRODSECBUG-2907
 CVE-2021-21029
Cross-site scripting (uložený) Samovolné spuštění JavaScriptu v prohlížeči
 Kritická
 Ano
 Ne
 PRODSECBUG-2912
 CVE-2021-21030
Nedostatečné ověření relace uživatele
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ne
 PRODSECBUG-2914
 CVE-2021-21031
Nedostatečné ověření relace uživatele
 Neoprávněný přístup k prostředkům s omezeným přístupem
 Důležitá 
 Ne
 Ne
 MC-36608
 CVE-2021-21032
Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Další technické popisy chyb zabezpečení CVE uvedených v tomto dokumentu budou dostupné na webech MITRENVD.

Aktualizace závislostí

Závislost

Dopad chyby zabezpečení

Postižené verze

Úhlové

Znečištění prototypu

2.4.2, 2.4.1-p1, 2.3.6-p1

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer ze společnosti Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) spolupracující s laboratoří SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revize

9. února 2021: Aktualizované podrobnosti o potvrzení o CVE-2021-21014.

Logo Adobe

Přihlaste se ke svému účtu.

Rychlé odkazy

Zobrazit všechny vaše plány Správa plánů