Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Magento | APSB21-08

ID del boletín

Fecha de publicación

Prioridad

ASPB21-08

09 de febrero de 2021

2

Resumen

Magento ha publicado actualizaciones para sus ediciones Magento Commerce y Magento Open Source. Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.    

Versiones afectadas

Producto Versión Plataforma

Magento Commerce 
2.4.1 y versiones anteriores  
Todas
2.4.0-p1 y versiones anteriores  
Todas
2.3.6 y versiones anteriores 
Todas
Magento Open Source 

2.4.1 y versiones anteriores
Todas
2.4.0-p1 y versiones anteriores
Todas
2.3.6 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Prioridad Nivel Notas de la versión
Magento Commerce 
2.4.2
Todas
2

 

 

Notas de la versión 2.4.x

Notas de la versión 2.3.x

2.4.1-p1
Todas
2
2.3.6-p1 Todas
2
Magento Open Source 
2.4.2
Todas 2
2.4.1-p1
Todas 2
2.3.6-p1 Todas
2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Autenticación previa? ¿Se requieren privilegios administrativos?

ID del error de Magento Números CVE
Referencia de objeto directo no seguro (IDOR)
Acceso no autorizado a recursos restringidos
Importante 
No
No
PRODSECBUG-2812
CVE-2021-21012
Referencia de objeto directo no seguro (IDOR)
Acceso no autorizado a recursos restringidos
Importante 
No
No
PRODSECBUG-2815
CVE-2021-21013
Omisión de lista de permitidos de la subida de archivos
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2820
CVE-2021-21014
Evasión de seguridad
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2830
CVE-2021-21015
Evasión de seguridad
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2835
CVE-2021-21016
Inyección de comandos
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2845
CVE-2021-21018
Inyección XML
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2847
CVE-2021-21019
Omisión de control de acceso
Acceso no autorizado a recursos restringidos
Importante 
No
No
PRODSECBUG-2849
CVE-2021-21020
Referencia de objeto directo no seguro (IDOR)
Acceso no autorizado a recursos restringidos
Importante 

No
PRODSECBUG-2863
CVE-2021-21022
Ejecución de scripts en sitios cruzados (almacenados)
Ejecución de JavaScript arbitraria en el navegador
Importante 
No

PRODSECBUG-2893
CVE-2021-21023
Inyección SQL a ciegas
Acceso no autorizado a recursos restringidos
Importante 
No

PRODSECBUG-2896
CVE-2021-21024
Evasión de seguridad
Ejecución de código arbitraria 
Crítico
No

PRODSECBUG-2900
CVE-2021-21025
Autorización incorrecta
Acceso no autorizado a recursos restringidos
Importante 
No

PRODSECBUG-2902
CVE-2021-21026
Falsificación de petición en sitios cruzados (CSRF)
Modificación no autorizada de metadatos de clientes
Moderado
No
No
PRODSECBUG-2903
CVE-2021-21027
Ejecución de scripts en sitios cruzados (reflejados)
Ejecución de JavaScript arbitraria en el navegador
Importante 

No
PRODSECBUG-2907
CVE-2021-21029
Ejecución de scripts en sitios cruzados (almacenados) Ejecución de JavaScript arbitraria en el navegador
Crítico

No
PRODSECBUG-2912
CVE-2021-21030
Invalidación insuficiente de la sesión del usuario
Acceso no autorizado a recursos restringidos
Importante 
No
No
PRODSECBUG-2914
CVE-2021-21031
Invalidación insuficiente de la sesión del usuario
Acceso no autorizado a recursos restringidos
Importante 
No
No
MC-36608
CVE-2021-21032
Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Las descripciones técnicas adicionales de las CVE a las que se hace referencia en este documento estarán disponibles en los sitios de MITRE y NVD.

Actualizaciones de dependencias

Dependencia

Impacto de la vulnerabilidad

Versiones afectadas

Angular

Contaminación por prototipo

2.4.2, 2.4.1-p1, 2.3.6-p1

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) en colaboración con SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisiones

09 de febrero de 2021: Se han actualizado los detalles de reconocimiento sobre CVE-2021-21014.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?