Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro Magento | APSB21-08

ID bulletinu

Datum zveřejnění

Priorita

ASPB21-08

9. února 2021      

2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako důležitékritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.    

Dotčené verze

Produkt Verze Platforma

Magento Commerce 
2.4.1 a starší verze  
Vše
2.4.0-p1 a starší verze  
Vše
2.3.6 a starší verze 
Vše
Magento Open Source 

2.4.1 a starší verze
Vše
2.4.0-p1 a starší verze 
Vše
2.3.6 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt Aktualizovaná verze Platforma Úroveň priority Poznámky k verzi
Magento Commerce 
2.4.2
Vše
2

 

 

Poznámky k verzi 2.4.x

Poznámky k verzi 2.3.x

2.4.1-p1
Vše
2
2.3.6-p1 Vše
2
Magento Open Source 
2.4.2
Vše 2
2.4.1-p1
Vše 2
2.3.6-p1 Vše
2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Předběžné ověření? Jsou vyžadována oprávnění správce?

ID chyby Magento Čísla CVE
Nezabezpečená přímá reference na objekt (IDOR)
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ne
PRODSECBUG-2812
CVE-2021-21012
Nezabezpečená přímá reference na objekt (IDOR)
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ne
PRODSECBUG-2815
CVE-2021-21013
Obejití seznamu souborů, které lze nahrát
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2820
CVE-2021-21014
Překonání prvků zabezpečení
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2830
CVE-2021-21015
Překonání prvků zabezpečení
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2835
CVE-2021-21016
Vložení příkazu
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2845
CVE-2021-21018
Injekce XML
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2847
CVE-2021-21019
Obejití řízení přístupu
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ne
PRODSECBUG-2849
CVE-2021-21020
Nezabezpečená přímá reference na objekt (IDOR)
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ano
Ne
PRODSECBUG-2863
CVE-2021-21022
Cross-site scripting (uložený)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá 
Ne
Ano
PRODSECBUG-2893
CVE-2021-21023
Slepá injekce SQL
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ano
PRODSECBUG-2896
CVE-2021-21024
Překonání prvků zabezpečení
Svévolné spuštění kódu 
Kritická
Ne
Ano
PRODSECBUG-2900
CVE-2021-21025
Nesprávná autorizace
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ano
PRODSECBUG-2902
CVE-2021-21026
Padělání žádosti poslané mezi weby
Neoprávněná úprava metadat zákazníků
Střední
Ne
Ne
PRODSECBUG-2903
CVE-2021-21027
Cross-site scripting (reflektovaný)
Samovolné spuštění JavaScriptu v prohlížeči
Důležitá 
Ano
Ne
PRODSECBUG-2907
CVE-2021-21029
Cross-site scripting (uložený) Samovolné spuštění JavaScriptu v prohlížeči
Kritická
Ano
Ne
PRODSECBUG-2912
CVE-2021-21030
Nedostatečné ověření relace uživatele
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ne
PRODSECBUG-2914
CVE-2021-21031
Nedostatečné ověření relace uživatele
Neoprávněný přístup k prostředkům s omezeným přístupem
Důležitá 
Ne
Ne
MC-36608
CVE-2021-21032
Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Další technické popisy chyb zabezpečení CVE uvedených v tomto dokumentu budou dostupné na webech MITRENVD.

Aktualizace závislostí

Závislost

Dopad chyby zabezpečení

Postižené verze

Úhlové

Znečištění prototypu

2.4.2, 2.4.1-p1, 2.3.6-p1

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer ze společnosti Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) spolupracující s laboratoří SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revize

9. února 2021: Aktualizované podrobnosti o potvrzení o CVE-2021-21014.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online