Référence du bulletin
Mises à jour de sécurité disponibles pour Magento | APSB21-08
|
Date de publication |
Priorité |
---|---|---|
ASPB21-08 |
09 février 2021 |
2 |
Récapitulatif
Magento a publié des mises à jour pour les éditions Magento Commerce et Magento Open Source.Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.
Versions concernées
Produit | Version | Plate-forme |
---|---|---|
Magento Commerce |
2.4.1 et versions antérieures |
Toutes |
2.4.0-p1 et versions antérieures |
Toutes | |
2.3.6 et versions antérieures |
Toutes |
|
Magento Open Source |
2.4.1 et versions antérieures |
Toutes |
2.4.0-p1 et versions antérieures |
Toutes | |
2.3.6 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit | Version mise à jour | Plate-forme | Priorité | Notes de mise à jour |
---|---|---|---|---|
Magento Commerce |
2.4.2 |
Toutes |
2 |
|
2.4.1-p1 |
Toutes |
2 |
||
2.3.6-p1 | Toutes |
2 |
||
Magento Open Source |
2.4.2 |
Toutes | 2 | |
2.4.1-p1 |
Toutes | 2 | ||
2.3.6-p1 | Toutes |
2 |
Détails concernant la vulnérabilité
Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.
Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.
D’autres descriptions techniques concernant les CVE spécifiées dans ce document seront disponibles sur les sites MITRE et NVD.
Mises à jour des dépendances
Dépendance |
Impact de la vulnérabilité |
Versions concernées |
---|---|---|
Angulaire |
Pollution des prototypes |
2.4.2, 2.4.1-p1, 2.3.6-p1 |
Remerciements
Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :
- Malerisch (CVE-2021-21012)
- Niels Pijpers (CVE-2021-21013)
- Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
- Kien Hoang (hoangkien1020) (CVE-2021-21014)
- Edgar Boda-Majer de Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022)
- Kien Hoang (CVE-2021-21020)
- bobbytabl35_ (CVE-2021-21023)
- Wohlie (CVE-2021-21024)
- Peter O’Callaghan (CVE-2021-21025)
- Kiên Ka Lư (CVE-2021-21026)
- Lachlan Davidson (CVE-2021-21027)
- Natsasit Jirathammanuwat (Office Thailand) en collaboration avec avec SEC Consult Vulnerability Lab (CVE-2021-21029)
- Anas (CVE-2021-21031)
Révisions
9 février 2021 : Détails de remerciement mise à jour concernant la CVE-2021-21014.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?