Adobe 보안 게시판

검색

Magento에 사용할 수 있는 보안 업데이트 | APSB21-08

게시판 ID

게시 날짜

우선 순위

ASPB21-08

2021년 2월 9일      

2

요약

Magento는 Magento Commerce 및 Magento Open Source 버전에 대한 업데이트를 발표했습니다. 이 업데이트는 중요치명적 등급으로 평가된 취약성을 해결합니다. 성공적인 작성으로 인해 임의의 코드가 실행될 수 있습니다.    

해당 버전

제품 버전 플랫폼

Magento Commerce 
 2.4.1 및 이전 버전  
 모두
2.4.0-p1 및 이전 버전  
 모두
2.3.6 및 이전 버전 
 모두
Magento Open Source 

 2.4.1 및 이전 버전
 모두
2.4.0-p1 및 이전 버전
 모두
2.3.6 및 이전 버전 
 모두

해결 방법

Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.

제품 업데이트 버전 플랫폼 우선 순위 등급 릴리스 정보
Magento Commerce 
 2.4.2
 모두
 2

 

 

2.4.x 릴리스 정보

2.3.x 릴리스 정보
2.4.1-p1
 모두
 2
2.3.6-p1 모두
 2
Magento Open Source 
 2.4.2
 모두 2
2.4.1-p1
 모두 2
2.3.6-p1 모두
 2

취약성 세부 정보

취약점 카테고리 취약성 영향 심각도 사전 인증? 관리자 권한이 필요합니까?

 Magento 버그 ID CVE 번호
안전하지 않은 직접 개체 참조(IDOR)
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
 아니요
 PRODSECBUG-2812
 CVE-2021-21012
안전하지 않은 직접 개체 참조(IDOR)
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
 아니요
 PRODSECBUG-2815
 CVE-2021-21013
파일 업로드 허용 목록 무시
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2820
 CVE-2021-21014
보안 우회
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2830
 CVE-2021-21015
보안 우회
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2835
 CVE-2021-21016
명령 삽입
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2845
 CVE-2021-21018
XML 삽입
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2847
 CVE-2021-21019
액세스 제어 무시
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
 아니요
 PRODSECBUG-2849
 CVE-2021-21020
안전하지 않은 직접 개체 참조(IDOR)
 제한된 리소스에 대한 무단 액세스
 중요 
아니요
 PRODSECBUG-2863
 CVE-2021-21022
크로스 사이트 스크립팅(저장됨)
 브라우저에서 임의 JavaScript 실행
 중요 
 아니요
PRODSECBUG-2893
 CVE-2021-21023
블라인드 SQL 삽입
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
PRODSECBUG-2896
 CVE-2021-21024
보안 우회
 임의 코드 실행 
 치명적
 아니요
PRODSECBUG-2900
 CVE-2021-21025
부적절한 권한 부여
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
PRODSECBUG-2902
 CVE-2021-21026
크로스 사이트 요청 위조
 고객 메타데이터의 무단 수정
 보통
 아니요
 아니요
 PRODSECBUG-2903
 CVE-2021-21027
크로스 사이트 스크립팅(반사됨)
 브라우저에서 임의 JavaScript 실행
 중요 
아니요
 PRODSECBUG-2907
 CVE-2021-21029
크로스 사이트 스크립팅(저장됨) 브라우저에서 임의 JavaScript 실행
 치명적
아니요
 PRODSECBUG-2912
 CVE-2021-21030
사용자 세션의 무효화가 충분하지 않음
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
 아니요
 PRODSECBUG-2914
 CVE-2021-21031
사용자 세션의 무효화가 충분하지 않음
 제한된 리소스에 대한 무단 액세스
 중요 
 아니요
 아니요
 MC-36608
 CVE-2021-21032
참고:

사전 인증:  자격 증명 없이 취약성을 악용할 수 있습니다.   

관리자 권한 필요:  취약성은 관리자 권한을 가진 공격자만 악용할 수 있습니다.  

이 문서에서 참조된 CVE에 대한 추가 기술 설명은 MITRENVD 사이트에서 제공됩니다.

종속성 업데이트

종속성

취약성 영향

해당하는 버전

각도

프로토타입 오염

2.4.2, 2.4.1-p1, 2.3.6-p1

감사의 말

Adobe는 관련 문제를 보고하고 Adobe와 협력하여 고객 보호에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.   

  • Malerisch(CVE-2021-21012)
  • Niels Pijpers(CVE-2021-21013)
  • Blaklis(CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Majer of Bugscale의 Edgar Boda(CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang(CVE-2021-21020)
  • bobbytabl35_(CVE-2021-21023)
  • Wohlie(CVE-2021-21024)
  • Peter O'Callaghan(CVE-2021-21025)
  • Kiên Ka Lư(CVE-2021-21026)
  • Lachlan Davidson(CVE-2021-21027)
  • SEC Consult Vulnerability Lab과 협력하는 Natsasit Jirathammanuwat(태국 사무실)(CVE-2021-21029)
  • Anas(CVE-2021-21031)

개정 버전

2021년 2월 09일: CVE-2021-21014에 대한 승인 세부 정보가 업데이트되었습니다.

Adobe 로고

내 계정 로그인

빠른 링크

내 플랜 모두 보기 내 플랜 관리