Adobe sikkerhedsbulletin

Søg

Sikkerhedsopdateringer til Magento | APSB21-08

Bulletin-ID

Udgivelsesdato

Prioritet

ASPB21-08

9/2/2021

2

Resumé

Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Magento Open Source. Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og kritiske. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.    

Berørte versioner

Produkt Version Platform

Magento Commerce 
 2.4.1 og tidligere versioner  
 Alle
2.4.0-p1 og tidligere versioner  
 Alle
2.3.6 og tidligere versioner 
 Alle
Magento Open Source 

 2.4.1 og tidligere versioner
 Alle
2.4.0-p1 og tidligere versioner 
 Alle
2.3.6 og tidligere versioner 
 Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt Opdateret version Platform Prioritetsgrad Produktbemærkninger
Magento Commerce 
 2.4.2
 Alle
 2

 

 

2.4.x Produktbemærkninger

2.3.x Produktbemærkninger
2.4.1-p1
 Alle
 2
2.3.6-p1 Alle
 2
Magento Open Source 
 2.4.2
 Alle 2
2.4.1-p1
 Alle 2
2.3.6-p1 Alle
 2

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Forhåndsgodkendelse? Administratorrettigheder påkrævet?

 Magento Bug ID CVE-numre
Insecure Direct Object Reference (IDOR)
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Nej
 PRODSECBUG-2812
 CVE-2021-21012
Insecure Direct Object Reference (IDOR)
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Nej
 PRODSECBUG-2815
 CVE-2021-21013
Omgåelse af tilladelsesliste for filoverførsel
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2820
 CVE-2021-21014
Sikkerhedsomgåelse
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2830
 CVE-2021-21015
Sikkerhedsomgåelse
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2835
 CVE-2021-21016
Kommandoinjektion
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2845
 CVE-2021-21018
XML-injektion
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2847
 CVE-2021-21019
Tilsidesættelse af adgangskontrol
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Nej
 PRODSECBUG-2849
 CVE-2021-21020
Insecure Direct Object Reference (IDOR)
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Ja
 Nej
 PRODSECBUG-2863
 CVE-2021-21022
Cross-site scripting (lagret)
 Kørsel af vilkårlig javascript-kode i browseren
 Vigtig 
 Nej
 Ja
 PRODSECBUG-2893
 CVE-2021-21023
Blind SQL-injektion
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Ja
 PRODSECBUG-2896
 CVE-2021-21024
Sikkerhedsomgåelse
 Vilkårlig kodekørsel 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2900
 CVE-2021-21025
Ukorrekt autorisation
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Ja
 PRODSECBUG-2902
 CVE-2021-21026
Falskneri i forbindelse med forespørgsler på tværs af websteder
 Uautoriseret ændring af kunde-metadata
 Moderat
 Nej
 Nej
 PRODSECBUG-2903
 CVE-2021-21027
Cross-site scripting (reflekteret)
 Kørsel af vilkårlig javascript-kode i browseren
 Vigtig 
 Ja
 Nej
 PRODSECBUG-2907
 CVE-2021-21029
Cross-site scripting (lagret) Kørsel af vilkårlig javascript-kode i browseren
 Kritisk
 Ja
 Nej
 PRODSECBUG-2912
 CVE-2021-21030
Utilstrækkelig ugyldiggørelse af brugersession
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Nej
 PRODSECBUG-2914
 CVE-2021-21031
Utilstrækkelig ugyldiggørelse af brugersession
 Uautoriseret adgang til begrænsede ressourcer
 Vigtig 
 Nej
 Nej
 MC-36608
 CVE-2021-21032
Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Yderligere tekniske beskrivelser af de CVE'er, der henvises til i dette dokument, vil blive gjort tilgængelige på MITRE- og NVD-webstederne.

Opdateringer af afhængigheder

Afhængighed

Virkning af sikkerhedsproblem

Berørte versioner

Vinklet

Prototype-forurening

2.4.2, 2.4.1-p1, 2.3.6-p1

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer fra Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) i samarbejde med SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisioner

Februar 09, 2021: Opdateret bekræftelse detaljer om CVE-2021-21014.

Få hjælp hurtigere og nemmere

Ny bruger?

Hurtige links

Se alle dine planer Administrer dine planer
Se hurtige links
Skjul hurtige links