Adobe セキュリティ速報

検索

最終更新日 : 2021年4月28日 | 次にも適用 : Digital Editions

Magento に関するセキュリティアップデート公開 | APSB21-08

情報 ID	公開日	優先度
ASPB21-08	2021年2月09日	2

要約

Magento は Magento Commerce および Magento Open Source エディションのアップデートを公開しました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。

対象のバージョン

製品名	バージョン	プラットフォーム
Magento Commerce	2.4.1 とそれ以前のバージョン	すべて
	2.4.0-p1 以前のバージョン	すべて
	2.3.6 とそれ以前のバージョン	すべて
Magento オープンソース	2.4.1 とそれ以前のバージョン	すべて
	2.4.0-p1 以前のバージョン	すべて
	2.3.6 とそれ以前のバージョン	すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	更新後のバージョン	プラットフォーム	優先度評価	リリースノート
Magento Commerce	2.4.2	すべて	2	2.4.x リリースノート 2.3.x リリースノート
	2.4.1-p1	すべて	2
	2.3.6-p1	すべて	2
Magento オープンソース	2.4.2	すべて	2
	2.4.1-p1	すべて	2
	2.3.6-p1	すべて	2

脆弱性に関する詳細

脆弱性のカテゴリー	脆弱性の影響	深刻度	事前認証？	管理者権限が必要ですか？	Magento Bug ID	CVE 番号
Insecure Direct Object Reference （IDOR）	制限されたリソースへの不正アクセス	重要	いいえ	いいえ	PRODSECBUG-2812	CVE-2021-21012
Insecure Direct Object Reference （IDOR）	制限されたリソースへの不正アクセス	重要	いいえ	いいえ	PRODSECBUG-2815	CVE-2021-21013
ファイルアップロード許可リストバイパス	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2820	CVE-2021-21014
セキュリティバイパス	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2830	CVE-2021-21015
セキュリティバイパス	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2835	CVE-2021-21016
コマンドインジェクション	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2845	CVE-2021-21018
XML インジェクション	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2847	CVE-2021-21019
アクセス制御バイパス	制限されたリソースへの不正アクセス	重要	いいえ	いいえ	PRODSECBUG-2849	CVE-2021-21020
Insecure Direct Object Reference （IDOR）	制限されたリソースへの不正アクセス	重要	はい	いいえ	PRODSECBUG-2863	CVE-2021-21022
クロスサイトスクリプティング（保存）	ブラウザーでの任意の JavaScript 実行	重要	いいえ	はい	PRODSECBUG-2893	CVE-2021-21023
ブラインド SQL インジェクション	制限されたリソースへの不正アクセス	重要	いいえ	はい	PRODSECBUG-2896	CVE-2021-21024
セキュリティバイパス	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2900	CVE-2021-21025
不適切な認証	制限されたリソースへの不正アクセス	重要	いいえ	はい	PRODSECBUG-2902	CVE-2021-21026
クロスサイトリクエストフォージェリ	顧客メタデータの不正変更	中度	いいえ	いいえ	PRODSECBUG-2903	CVE-2021-21027
クロスサイトスクリプティング（反映）	ブラウザーでの任意の JavaScript 実行	重要	はい	いいえ	PRODSECBUG-2907	CVE-2021-21029
クロスサイトスクリプティング（保存）	ブラウザーでの任意の JavaScript 実行	クリティカル	はい	いいえ	PRODSECBUG-2912	CVE-2021-21030
ユーザーセッションの無効化の不備	制限されたリソースへの不正アクセス	重要	いいえ	いいえ	PRODSECBUG-2914	CVE-2021-21031
ユーザーセッションの無効化の不備	制限されたリソースへの不正アクセス	重要	いいえ	いいえ	MC-36608	CVE-2021-21032

注意：

事前認証：この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限：この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

依存関係の更新

依存関係	脆弱性の影響	対象のバージョン
角度	プロトタイプ汚染	2.4.2、2.4.1-p1、2.3.6-p1

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

Malerisch 氏（CVE-2021-21012）
Niels Pijpers 氏（CVE-2021-21013）
Blaklis 氏（CVE-2021-21014、CVE-2021-21018、CVE-2021-21030）
Kien Hoang 氏（hoangkien1020）（CVE-2021-21014）
Bugscale の Edgar Boda-Majer 氏（CVE-2021-21015、CVE-2021-21016、CVE-2021-21022）
Kien Hoang 氏（CVE-2021-21020）
bobbytabl35_ （CVE-2021-21023）
Wohlie 氏（CVE-2021-21024）
Peter O'Callaghan 氏（CVE-2021-21025）
Kiên Ka Lư 氏（CVE-2021-21026）
Lachlan Davidson 氏（CVE-2021-21027）
SEC Consult Vulnerability Lab とご協力いただいた Natsait Jirathammanuwat 氏（Office Thaid）（CVE-2021-21029）
Anas 氏（CVE-2021-21031）