Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB21-08

Référence du bulletin

Date de publication

Priorité 

ASPB21-08

09 février 2021      

2

Récapitulatif

Magento a publié des mises à jour pour les éditions Magento Commerce et Magento Open Source.Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

Versions concernées

Produit Version  Plate-forme

Magento Commerce 
2.4.1 et versions antérieures  
Toutes
2.4.0-p1 et versions antérieures  
Toutes
2.3.6 et versions antérieures 
Toutes
Magento Open Source 

2.4.1 et versions antérieures
Toutes
2.4.0-p1 et versions antérieures
Toutes
2.3.6 et versions antérieures 
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit Version mise à jour Plate-forme Priorité Notes de mise à jour
Magento Commerce 
2.4.2
Toutes
2

 

 

Notes de mise à jour 2.4.x

Notes de mise à jour 2.3.x

2.4.1-p1
Toutes
2
2.3.6-p1 Toutes
2
Magento Open Source 
2.4.2
Toutes 2
2.4.1-p1
Toutes 2
2.3.6-p1 Toutes
2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité Impact de la vulnérabilité Gravité Pré-authentification ? Droits d’administration requis ?

ID de bogue Magento Références CVE
Référence directe non sécurisée à un objet (IDOR)
Accès non autorisé aux ressources restreintes
Important 
Non
Non
PRODSECBUG-2812
CVE-2021-21012
Référence directe non sécurisée à un objet (IDOR)
Accès non autorisé aux ressources restreintes
Important 
Non
Non
PRODSECBUG-2815
CVE-2021-21013
Contournement de la liste des chargements de fichiers autorisés
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2820
CVE-2021-21014
Contournement de sécurité
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2830
CVE-2021-21015
Contournement de sécurité
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2835
CVE-2021-21016
Injection de commandes
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2845
CVE-2021-21018
Injection de XML
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2847
CVE-2021-21019
Contournement des contrôles d’accès
Accès non autorisé aux ressources restreintes
Important 
Non
Non
PRODSECBUG-2849
CVE-2021-21020
Référence directe non sécurisée à un objet (IDOR)
Accès non autorisé aux ressources restreintes
Important 
Oui
Non
PRODSECBUG-2863
CVE-2021-21022
Cross-site scripting (XSS stocké)
Exécution arbitraire de code JavaScript dans le navigateur
Important 
Non
Oui
PRODSECBUG-2893
CVE-2021-21023
Injection de SQL masquée
Accès non autorisé aux ressources restreintes
Important 
Non
Oui
PRODSECBUG-2896
CVE-2021-21024
Contournement de sécurité
Exécution de code arbitraire 
Critique
Non
Oui
PRODSECBUG-2900
CVE-2021-21025
Autorisation incorrecte
Accès non autorisé aux ressources restreintes
Important 
Non
Oui
PRODSECBUG-2902
CVE-2021-21026
Cross-site request forgery (CSRF)
Modification non autorisée des métadonnées des clients
Modéré
Non
Non
PRODSECBUG-2903
CVE-2021-21027
Cross-site scripting (XSS réfléchi)
Exécution arbitraire de code JavaScript dans le navigateur
Important 
Oui
Non
PRODSECBUG-2907
CVE-2021-21029
Cross-site scripting (XSS stocké) Exécution arbitraire de code JavaScript dans le navigateur
Critique
Oui
Non
PRODSECBUG-2912
CVE-2021-21030
Invalidation insuffisante de la session utilisateur
Accès non autorisé aux ressources restreintes
Important 
Non
Non
PRODSECBUG-2914
CVE-2021-21031
Invalidation insuffisante de la session utilisateur
Accès non autorisé aux ressources restreintes
Important 
Non
Non
MC-36608
CVE-2021-21032
Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

D’autres descriptions techniques concernant les CVE spécifiées dans ce document seront disponibles sur les sites MITRE et NVD.

Mises à jour des dépendances

Dépendance

Impact de la vulnérabilité

Versions concernées

Angulaire

Pollution des prototypes

2.4.2, 2.4.1-p1, 2.3.6-p1

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O’Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) en collaboration avec avec SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Révisions

9 février 2021 : Détails de remerciement mise à jour concernant la CVE-2021-21014.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX 2024

Adobe MAX
La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne

Adobe MAX

La conférence sur la créativité

Du 14 au 16 octobre à Miami Beach et en ligne