Boletín de seguridad de Adobe

Buscar

Actualizaciones de seguridad disponibles para Magento | APSB21-08

ID del boletín

Fecha de publicación

Prioridad

ASPB21-08

09 de febrero de 2021

2

Resumen

Magento ha publicado actualizaciones para sus ediciones Magento Commerce y Magento Open Source. Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.    

Versiones afectadas

Producto Versión Plataforma

Magento Commerce 
 2.4.1 y versiones anteriores  
 Todas
2.4.0-p1 y versiones anteriores  
 Todas
2.3.6 y versiones anteriores 
 Todas
Magento Open Source 

 2.4.1 y versiones anteriores
 Todas
2.4.0-p1 y versiones anteriores
 Todas
2.3.6 y versiones anteriores 
 Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto Versión actualizada Plataforma Prioridad Nivel Notas de la versión
Magento Commerce 
 2.4.2
 Todas
 2

 

 

Notas de la versión 2.4.x

Notas de la versión 2.3.x
2.4.1-p1
 Todas
 2
2.3.6-p1 Todas
 2
Magento Open Source 
 2.4.2
 Todas 2
2.4.1-p1
 Todas 2
2.3.6-p1 Todas
 2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad ¿Autenticación previa? ¿Se requieren privilegios administrativos?

 ID del error de Magento Números CVE
Referencia de objeto directo no seguro (IDOR)
 Acceso no autorizado a recursos restringidos
 Importante 
 No
 No
 PRODSECBUG-2812
 CVE-2021-21012
Referencia de objeto directo no seguro (IDOR)
 Acceso no autorizado a recursos restringidos
 Importante 
 No
 No
 PRODSECBUG-2815
 CVE-2021-21013
Omisión de lista de permitidos de la subida de archivos
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2820
 CVE-2021-21014
Evasión de seguridad
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2830
 CVE-2021-21015
Evasión de seguridad
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2835
 CVE-2021-21016
Inyección de comandos
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2845
 CVE-2021-21018
Inyección XML
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2847
 CVE-2021-21019
Omisión de control de acceso
 Acceso no autorizado a recursos restringidos
 Importante 
 No
 No
 PRODSECBUG-2849
 CVE-2021-21020
Referencia de objeto directo no seguro (IDOR)
 Acceso no autorizado a recursos restringidos
 Importante 
No
 PRODSECBUG-2863
 CVE-2021-21022
Ejecución de scripts en sitios cruzados (almacenados)
 Ejecución de JavaScript arbitraria en el navegador
 Importante 
 No
PRODSECBUG-2893
 CVE-2021-21023
Inyección SQL a ciegas
 Acceso no autorizado a recursos restringidos
 Importante 
 No
PRODSECBUG-2896
 CVE-2021-21024
Evasión de seguridad
 Ejecución de código arbitraria 
 Crítico
 No
PRODSECBUG-2900
 CVE-2021-21025
Autorización incorrecta
 Acceso no autorizado a recursos restringidos
 Importante 
 No
PRODSECBUG-2902
 CVE-2021-21026
Falsificación de petición en sitios cruzados (CSRF)
 Modificación no autorizada de metadatos de clientes
 Moderado
 No
 No
 PRODSECBUG-2903
 CVE-2021-21027
Ejecución de scripts en sitios cruzados (reflejados)
 Ejecución de JavaScript arbitraria en el navegador
 Importante 
No
 PRODSECBUG-2907
 CVE-2021-21029
Ejecución de scripts en sitios cruzados (almacenados) Ejecución de JavaScript arbitraria en el navegador
 Crítico
No
 PRODSECBUG-2912
 CVE-2021-21030
Invalidación insuficiente de la sesión del usuario
 Acceso no autorizado a recursos restringidos
 Importante 
 No
 No
 PRODSECBUG-2914
 CVE-2021-21031
Invalidación insuficiente de la sesión del usuario
 Acceso no autorizado a recursos restringidos
 Importante 
 No
 No
 MC-36608
 CVE-2021-21032
Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Las descripciones técnicas adicionales de las CVE a las que se hace referencia en este documento estarán disponibles en los sitios de MITRE y NVD.

Actualizaciones de dependencias

Dependencia

Impacto de la vulnerabilidad

Versiones afectadas

Angular

Contaminación por prototipo

2.4.2, 2.4.1-p1, 2.3.6-p1

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) en colaboración con SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisiones

09 de febrero de 2021: Se han actualizado los detalles de reconocimiento sobre CVE-2021-21014.

Logotipo de Adobe

Inicia sesión en tu cuenta

Vínculos rápidos

Ver todos los planes Administrar los planes