Adobe セキュリティ速報

検索

Magento に関するセキュリティアップデート公開 | APSB21-08

情報 ID

公開日

優先度

ASPB21-08

2021年2月09日      

2

要約

Magento は Magento Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。    

対象のバージョン

製品名 バージョン プラットフォーム

Magento Commerce 
 2.4.1 とそれ以前のバージョン  
 すべて
2.4.0-p1 以前のバージョン  
 すべて
2.3.6 とそれ以前のバージョン 
 すべて
Magento オープンソース 

 2.4.1 とそれ以前のバージョン
 すべて
2.4.0-p1 以前のバージョン
 すべて
2.3.6 とそれ以前のバージョン 
 すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 更新後のバージョン プラットフォーム 優先度評価 リリースノート
Magento Commerce 
 2.4.2
 すべて
 2

 

 

2.4.x リリースノート

2.3.x リリースノート
2.4.1-p1
 すべて
 2
2.3.6-p1 すべて
 2
Magento オープンソース 
 2.4.2
 すべて 2
2.4.1-p1
 すべて 2
2.3.6-p1 すべて
 2

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 事前認証? 管理者権限が必要ですか?

 Magento Bug ID CVE 番号
Insecure Direct Object Reference (IDOR)
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 いいえ
 PRODSECBUG-2812
 CVE-2021-21012
Insecure Direct Object Reference (IDOR)
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 いいえ
 PRODSECBUG-2815
 CVE-2021-21013
ファイルアップロード許可リストバイパス
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2820
 CVE-2021-21014
セキュリティバイパス
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2830
 CVE-2021-21015
セキュリティバイパス
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2835
 CVE-2021-21016
コマンドインジェクション
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2845
 CVE-2021-21018
XML インジェクション
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2847
 CVE-2021-21019
アクセス制御バイパス
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 いいえ
 PRODSECBUG-2849
 CVE-2021-21020
Insecure Direct Object Reference (IDOR)
 制限されたリソースへの不正アクセス
 重要 
 はい
 いいえ
 PRODSECBUG-2863
 CVE-2021-21022
クロスサイトスクリプティング(保存)
 ブラウザーでの任意の JavaScript 実行
 重要 
 いいえ
 はい
 PRODSECBUG-2893
 CVE-2021-21023
ブラインド SQL インジェクション
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 はい
 PRODSECBUG-2896
 CVE-2021-21024
セキュリティバイパス
 任意のコード実行 
 クリティカル
 いいえ
 はい
 PRODSECBUG-2900
 CVE-2021-21025
不適切な認証
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 はい
 PRODSECBUG-2902
 CVE-2021-21026
クロスサイトリクエストフォージェリ
 顧客メタデータの不正変更
 中度
 いいえ
 いいえ
 PRODSECBUG-2903
 CVE-2021-21027
クロスサイトスクリプティング(反映)
 ブラウザーでの任意の JavaScript 実行
 重要 
 はい
 いいえ
 PRODSECBUG-2907
 CVE-2021-21029
クロスサイトスクリプティング(保存) ブラウザーでの任意の JavaScript 実行
 クリティカル
 はい
 いいえ
 PRODSECBUG-2912
 CVE-2021-21030
ユーザーセッションの無効化の不備
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 いいえ
 PRODSECBUG-2914
 CVE-2021-21031
ユーザーセッションの無効化の不備
 制限されたリソースへの不正アクセス
 重要 
 いいえ
 いいえ
 MC-36608
 CVE-2021-21032
注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

依存関係の更新

依存関係

脆弱性の影響

対象のバージョン

角度

プロトタイプ汚染

2.4.2、2.4.1-p1、2.3.6-p1

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Malerisch 氏(CVE-2021-21012)
  • Niels Pijpers 氏(CVE-2021-21013)
  • Blaklis 氏(CVE-2021-21014、CVE-2021-21018、CVE-2021-21030)
  • Kien Hoang 氏(hoangkien1020)(CVE-2021-21014)
  • Bugscale の Edgar Boda-Majer 氏(CVE-2021-21015、CVE-2021-21016、CVE-2021-21022)
  • Kien Hoang 氏(CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie 氏(CVE-2021-21024)
  • Peter O'Callaghan 氏(CVE-2021-21025)
  • Kiên Ka Lư 氏(CVE-2021-21026)
  • Lachlan Davidson 氏(CVE-2021-21027)
  • SEC Consult Vulnerability Lab とご協力いただいた Natsait Jirathammanuwat 氏(Office Thaid)(CVE-2021-21029)
  • Anas 氏(CVE-2021-21031)

更新履歴

2021年2月09日:CVE-2021-21014に関する謝辞の詳細を更新しました。

アドビのロゴ

アカウントにログイン

クイックリンク

すべてのプランを表示 プランを管理

アドビサポートコミュニティ

使い方についての質問やCreator同士の情報交換ができます。気軽に質問してみましょう。

質問する

サポート

個別対応による実践的なヘルプ

利用する
^ ページの先頭へ