Adobe 安全性公告

搜尋

發佈 Magento 的安全性更新 | APSB21-08

安全性公告 ID

發佈日期

優先順序

ASPB21-08

2021 年 2 月 9 日

2

摘要

Magento 已發佈 Magento Commerce 與 Magento Open Source 版本的更新。  這些更新旨在解決多項重要重大弱點。這些弱點一旦遭有心人士利用,可能會導致系統執行任意程式碼。

受影響的版本

產品 版本 平台

Magento Commerce 
 2.4.1 及舊版  
 全部
2.4.0-p1 (含) 以前版本  
 全部
2.3.6 及舊版 
 全部
Magento Open Source 

 2.4.1 及舊版
 全部
2.4.0-p1 (含) 以前版本
 全部
2.3.6 及舊版 
 全部

解決方法

Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。

產品 已更新的版本 平台 優先順序分級 發行說明
Magento Commerce 
 2.4.2
 全部
 2

 

 

2.4.x 發行說明

2.3.x 發行說明
2.4.1-p1
 全部
 2
2.3.6-p1 全部
 2
Magento Open Source 
 2.4.2
 全部 2
2.4.1-p1
 全部 2
2.3.6-p1 全部
 2

弱點詳細資料

弱點類別 弱點影響 嚴重性 需預先驗證身分? 需有管理員權限?

 Magento 錯誤 ID CVE 編號
不安全的直接物件參考 (IDOR)
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2812
 CVE-2021-21012
不安全的直接物件參考 (IDOR)
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2815
 CVE-2021-21013
檔案上傳允許清單 Bypass
 任意執行程式碼 
 重大

PRODSECBUG-2820
 CVE-2021-21014
安全性略過
 任意執行程式碼 
 重大

PRODSECBUG-2830
 CVE-2021-21015
安全性略過
 任意執行程式碼 
 重大

PRODSECBUG-2835
 CVE-2021-21016
命令插入
 任意執行程式碼 
 重大

PRODSECBUG-2845
 CVE-2021-21018
XML 插入
 任意執行程式碼 
 重大

PRODSECBUG-2847
 CVE-2021-21019
存取控制略過
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2849
 CVE-2021-21020
不安全的直接物件參考 (IDOR)
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2863
 CVE-2021-21022
跨網站指令碼 (已儲存)
 在瀏覽器中任意執行 JavaScript
 重要 

PRODSECBUG-2893
 CVE-2021-21023
SQL 盲插
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2896
 CVE-2021-21024
安全性略過
 任意執行程式碼 
 重大

PRODSECBUG-2900
 CVE-2021-21025
不當授權
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2902
 CVE-2021-21026
跨網站偽造要求
 未經授權擅自修改客戶中繼資料
 中度

PRODSECBUG-2903
 CVE-2021-21027
跨網站指令碼 (已反映)
 在瀏覽器中任意執行 JavaScript
 重要 

PRODSECBUG-2907
 CVE-2021-21029
跨網站指令碼 (已儲存) 在瀏覽器中任意執行 JavaScript
 重大

PRODSECBUG-2912
 CVE-2021-21030
使用者工作階段未完全失效
 未經授權逕自存取受限制的資源
 重要 

PRODSECBUG-2914
 CVE-2021-21031
使用者工作階段未完全失效
 未經授權逕自存取受限制的資源
 重要 

MC-36608
 CVE-2021-21032
註解:

預先驗證身分:不需憑證即可利用弱點。   

需有管理員權限:只有擁有管理權限的攻擊者可以利用弱點。 

您可前往 MITRENVD 網站查看本文件提及的其他 CVE 技術說明。

相依性更新

相依性

弱點影響

受影響的版本


原型遭受污染

2.4.2、2.4.1-p1、2.3.6-p1

鳴謝

Adobe 在此感謝以下人員提報相關問題,與 Adobe 共同保護客戶:

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014、CVE-2021-21018、CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer of Bugscale (CVE-2021-21015、CVE-2021-21016、CVE-2021-21022)
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • 與 SEC Consult Vulnerability Lab 合作的 Natsasit Jirathammanuwat (泰國辦公室) (CVE-2021-21029)
  • Anas (CVE-2021-21031)

修訂


2021 年 2 月 9 日: 與 CVE-2021-21014 相關的更新鳴謝詳細資料。

Adobe 標誌

登入您的帳戶

快速連結

檢視您的應用程式 管理您的計劃