Bollettino sulla sicurezza di Adobe

Cerca

Aggiornamenti di sicurezza disponibili per Magento | APSB21-08

ID bollettino

Data di pubblicazione

Priorità

ASPB21-08

09 febbraio 2021      

2

Magento ha rilasciato aggiornamenti per le versioni Magento Commerce e Magento Open Source. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.    

Versioni interessate

Prodotto Versione Piattaforma

Magento Commerce 
 2.4.1 e versioni precedenti  
 Tutte
2.4.0-p1 e versioni precedenti  
 Tutte
2.3.6 e versioni precedenti 
 Tutte
Magento Open Source 

 2.4.1 e versioni precedenti
 Tutte
2.4.0-p1 e versioni precedenti
 Tutte
2.3.6 e versioni precedenti 
 Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto Versione aggiornata Piattaforma Livello di priorità Note sul rilascio
Magento Commerce 
 2.4.2
 Tutte
 2

 

 

Note sulla versione 2.4.x

Note sulla versione 2.3.x
2.4.1-p1
 Tutte
 2
2.3.6 p^1 Tutte
 2
Magento Open Source 
 2.4.2
 Tutte 2
2.4.1-p1
 Tutte 2
2.3.6 p^1 Tutte
 2

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Pre-autenticazione? Sono necessari i privilegi di amministratore?

 Magento Bug ID Codici CVE
Riferimento a oggetti diretti non sicuri (IDOR)
 Accesso non autorizzato a risorse limitate
 Importante 
 No
 No
 PRODSECBUG-2812
 CVE-2021-21012
Riferimento a oggetti diretti non sicuri (IDOR)
 Accesso non autorizzato a risorse limitate
 Importante 
 No
 No
 PRODSECBUG-2815
 CVE-2021-21013
Ignora elenco caricamento file consentiti
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2820
 CVE-2021-21014
Aggiramento della protezione
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2830
 CVE-2021-21015
Aggiramento della protezione
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2835
 CVE-2021-21016
Iniezione comando
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2845
 CVE-2021-21018
XML injection
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2847
 CVE-2021-21019
Access control bypass
 Accesso non autorizzato a risorse limitate
 Importante 
 No
 No
 PRODSECBUG-2849
 CVE-2021-21020
Riferimento a oggetti diretti non sicuri (IDOR)
 Accesso non autorizzato a risorse limitate
 Importante 
No
 PRODSECBUG-2863
 CVE-2021-21022
Cross-site scripting (salvato)
 Esecuzione arbitraria di JavaScript nel browser
 Importante 
 No
PRODSECBUG-2893
 CVE-2021-21023
Blind SQL injection
 Accesso non autorizzato a risorse limitate
 Importante 
 No
PRODSECBUG-2896
 CVE-2021-21024
Aggiramento della protezione
 Esecuzione di codice arbitrario 
 Critica
 No
PRODSECBUG-2900
 CVE-2021-21025
Autorizzazione impropria
 Accesso non autorizzato a risorse limitate
 Importante 
 No
PRODSECBUG-2902
 CVE-2021-21026
Cross-site request forgery
 Modifica non autorizzata dei metadati cliente
 Moderato
 No
 No
 PRODSECBUG-2903
 CVE-2021-21027
vulnerabilità cross-site scripting (riflesso)
 Esecuzione arbitraria di JavaScript nel browser
 Importante 
No
 PRODSECBUG-2907
 CVE-2021-21029
Cross-site scripting (salvato) Esecuzione arbitraria di JavaScript nel browser
 Critica
No
 PRODSECBUG-2912
 CVE-2021-21030
Annullamento convalida insufficiente della sessione utente
 Accesso non autorizzato a risorse limitate
 Importante 
 No
 No
 PRODSECBUG-2914
 CVE-2021-21031
Annullamento convalida insufficiente della sessione utente
 Accesso non autorizzato a risorse limitate
 Importante 
 No
 No
 MC-36608
 CVE-2021-21032
Nota:

Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.   

Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.  

Ulteriori descrizioni tecniche dei CVE citati nel presente documento saranno disponibili sui siti MITRE e NVD .

Aggiornamenti alle dipendenze

Dipendenza

Impatto della vulnerabilità

Versioni interessate

Angolare

Prototype Pollution

2.4.2, 2.4.1-p1, 2.3.6-p1

Ringraziamenti

Adobe desidera ringraziare le persone indicate di seguito per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer di Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) in collaborazione con SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisioni

09 febbraio 2021: aggiornati i dettagli di riconoscimento su CVE-2021-21014.

Ottieni supporto in modo più facile e veloce

Nuovo utente?

Collegamenti rapidi

Visualizza tutti i tuoi piani Gestione dei piani
Visualizza collegamenti rapidi
Nascondi collegamenti rapidi