Magento に関するセキュリティアップデート公開 | APSB21-08
情報 ID 公開日 優先度
ASPB21-08 2021年2月09日       2

要約

Magento は Magento Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。    

対象のバージョン

製品名 バージョン プラットフォーム

Magento Commerce 
2.4.1 とそれ以前のバージョン  
すべて
2.4.0-p1 以前のバージョン  
すべて
2.3.6 とそれ以前のバージョン 
すべて
Magento オープンソース 

2.4.1 とそれ以前のバージョン
すべて
2.4.0-p1 以前のバージョン
すべて
2.3.6 とそれ以前のバージョン 
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 更新後のバージョン プラットフォーム 優先度評価 リリースノート
Magento Commerce 
2.4.2
すべて
2

 

 

2.4.x リリースノート

2.3.x リリースノート

2.4.1-p1
すべて
2
2.3.6-p1 すべて
2
Magento オープンソース 
2.4.2
すべて 2
2.4.1-p1
すべて 2
2.3.6-p1 すべて
2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 事前認証? 管理者権限が必要ですか?

Magento Bug ID CVE 番号
Insecure Direct Object Reference (IDOR)
制限されたリソースへの不正アクセス
重要 
いいえ
いいえ
PRODSECBUG-2812
CVE-2021-21012
Insecure Direct Object Reference (IDOR)
制限されたリソースへの不正アクセス
重要 
いいえ
いいえ
PRODSECBUG-2815
CVE-2021-21013
ファイルアップロード許可リストバイパス
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2820
CVE-2021-21014
セキュリティバイパス
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2830
CVE-2021-21015
セキュリティバイパス
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2835
CVE-2021-21016
コマンドインジェクション
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2845
CVE-2021-21018
XML インジェクション
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2847
CVE-2021-21019
アクセス制御バイパス
制限されたリソースへの不正アクセス
重要 
いいえ
いいえ
PRODSECBUG-2849
CVE-2021-21020
Insecure Direct Object Reference (IDOR)
制限されたリソースへの不正アクセス
重要 
はい
いいえ
PRODSECBUG-2863
CVE-2021-21022
クロスサイトスクリプティング(保存)
ブラウザーでの任意の JavaScript 実行
重要 
いいえ
はい
PRODSECBUG-2893
CVE-2021-21023
ブラインド SQL インジェクション
制限されたリソースへの不正アクセス
重要 
いいえ
はい
PRODSECBUG-2896
CVE-2021-21024
セキュリティバイパス
任意のコード実行 
クリティカル
いいえ
はい
PRODSECBUG-2900
CVE-2021-21025
不適切な認証
制限されたリソースへの不正アクセス
重要 
いいえ
はい
PRODSECBUG-2902
CVE-2021-21026
クロスサイトリクエストフォージェリ
顧客メタデータの不正変更
中度
いいえ
いいえ
PRODSECBUG-2903
CVE-2021-21027
クロスサイトスクリプティング(反映)
ブラウザーでの任意の JavaScript 実行
重要 
はい
いいえ
PRODSECBUG-2907
CVE-2021-21029
クロスサイトスクリプティング(保存) ブラウザーでの任意の JavaScript 実行
クリティカル
はい
いいえ
PRODSECBUG-2912
CVE-2021-21030
ユーザーセッションの無効化の不備
制限されたリソースへの不正アクセス
重要 
いいえ
いいえ
PRODSECBUG-2914
CVE-2021-21031
ユーザーセッションの無効化の不備
制限されたリソースへの不正アクセス
重要 
いいえ
いいえ
MC-36608
CVE-2021-21032

注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

依存関係の更新

依存関係 脆弱性の影響 対象のバージョン
角度
プロトタイプ汚染
2.4.2、2.4.1-p1、2.3.6-p1

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Malerisch 氏(CVE-2021-21012)
  • Niels Pijpers 氏(CVE-2021-21013)
  • Blaklis 氏(CVE-2021-21014、CVE-2021-21018、CVE-2021-21030)
  • Kien Hoang 氏(hoangkien1020)(CVE-2021-21014)
  • Bugscale の Edgar Boda-Majer 氏(CVE-2021-21015、CVE-2021-21016、CVE-2021-21022)
  • Kien Hoang 氏(CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie 氏(CVE-2021-21024)
  • Peter O'Callaghan 氏(CVE-2021-21025)
  • Kiên Ka Lư 氏(CVE-2021-21026)
  • Lachlan Davidson 氏(CVE-2021-21027)
  • SEC Consult Vulnerability Lab とご協力いただいた Natsait Jirathammanuwat 氏(Office Thaid)(CVE-2021-21029)
  • Anas 氏(CVE-2021-21031)

更新履歴

2021年2月09日:CVE-2021-21014に関する謝辞の詳細を更新しました。