Adoben tietoturvatiedote

Hae

Magenton tietoturvapäivitykset | APSB21-08

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-08

9. helmikuuta 2021

2

Yhteenveto

Magento on julkaissut päivityksiä Magento Commerce - ja Magento Open Source -versioita varten. Nämä päivitykset ratkaisevat tärkeitä ja kriittisiä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.    

Versiot, joita haavoittuvuus koskee

Tuote Versio Ympäristö

Magento Commerce 
 2.4.1 ja aiemmat versiot  
 Kaikki
2.4.0-p1 ja aiemmat versiot  
 Kaikki
2.3.6 ja aiemmat versiot 
 Kaikki
Magento Open Source 

 2.4.1 ja aiemmat versiot
 Kaikki
2.4.0-p1 ja aiemmat versiot
 Kaikki
2.3.6 ja aiemmat versiot 
 Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus Julkaisutiedot
Magento Commerce 
 2.4.2
 Kaikki
 2

 

 

Version 2.4.x julkaisutiedot

Version 2.3.x julkaisutiedot
2.4.1-p1
 Kaikki
 2
2.3.6-p1 Kaikki
 2
Magento Open Source 
 2.4.2
 Kaikki 2
2.4.1-p1
 Kaikki 2
2.3.6-p1 Kaikki
 2

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka Haavoittuvuuden vaikutus Vakavuus Esitodennus? Tarvitaan järjestelmänvalvojan oikeudet?

 Magenton ohjelmavirheen tunnus CVE-numerot
Insecure Direct Object Reference (IDOR)
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Ei
 PRODSECBUG-2812
 CVE-2021-21012
Insecure Direct Object Reference (IDOR)
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Ei
 PRODSECBUG-2815
 CVE-2021-21013
Tiedostojen lähetyksen sallittujen listan ohitus
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2820
 CVE-2021-21014
Suojauksen ohitus
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2830
 CVE-2021-21015
Suojauksen ohitus
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2835
 CVE-2021-21016
Komentojen lisäys
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2845
 CVE-2021-21018
XML-elementin lisäys
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2847
 CVE-2021-21019
Käyttöoikeuksien hallinnan ohitus
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Ei
 PRODSECBUG-2849
 CVE-2021-21020
Insecure Direct Object Reference (IDOR)
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Kyllä
 Ei
 PRODSECBUG-2863
 CVE-2021-21022
Sivustojen välinen skriptaus (tallennettu)
 Mielivaltainen JavaScriptin suoritus selaimessa
 Tärkeä 
 Ei
 Kyllä
 PRODSECBUG-2893
 CVE-2021-21023
Sokea SQL-koodin lisäys
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Kyllä
 PRODSECBUG-2896
 CVE-2021-21024
Suojauksen ohitus
 Mielivaltaisen koodin suoritus 
 Kriittinen
 Ei
 Kyllä
 PRODSECBUG-2900
 CVE-2021-21025
Virheellinen valtuutus
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Kyllä
 PRODSECBUG-2902
 CVE-2021-21026
XSS-pyyntöjen väärentäminen
 Asiakkaan metatietojen luvaton muutos
 Kohtalainen
 Ei
 Ei
 PRODSECBUG-2903
 CVE-2021-21027
Sivustojen välinen skriptaus (heijastettu)
 Mielivaltainen JavaScriptin suoritus selaimessa
 Tärkeä 
 Kyllä
 Ei
 PRODSECBUG-2907
 CVE-2021-21029
Sivustojen välinen skriptaus (tallennettu) Mielivaltainen JavaScriptin suoritus selaimessa
 Kriittinen
 Kyllä
 Ei
 PRODSECBUG-2912
 CVE-2021-21030
Käyttäjäistunnon riittämätön mitätöinti
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Ei
 PRODSECBUG-2914
 CVE-2021-21031
Käyttäjäistunnon riittämätön mitätöinti
 Rajoitettujen resurssien luvaton käyttö
 Tärkeä 
 Ei
 Ei
 MC-36608
 CVE-2021-21032
Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Tässä dokumentissa viitattuihin CVE-artikkeleihin on saatavilla ylimääräisiä teknisiä kuvauksia MITRE- ja NVD-sivustoissa.

Riippuvuussuhteiden päivitykset

Riippuvuussuhde

Haavoittuvuuden vaikutus

Versiot

Kulma

Prototyypin saastuttaminen

2.4.2, 2.4.1-p1, 2.3.6-p1

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer, Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) yhteistyössä SEC Consult Vulnerability Labin kanssa (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Versiot

Helmikuu 09, 2021: Päivitetty vahvistustiedot tietoja CVE-2021-21014.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?

Pikalinkit

Näytä kaikki sopimuksesi Sopimusten hallinta
Näytä pikalinkit
Piilota pikalinkit