Beveiligingsadvies van Adobe

Zoeken

Beveiligingsupdates beschikbaar voor Magento | APSB21-08

Bulletin-id

Publicatiedatum

Prioriteit

ASPB21-08

9 februari 2021

2

Samenvatting

Magento heeft updates uitgebracht voor Magento Commerce- en Magento Open Source-edities.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product Versie Platform

Magento Commerce 
 2.4.1 en eerdere versies
 Alles
2.4.0-p1 en eerdere versies
 Alles
2.3.6 en eerdere versies 
 Alles
Magento Open Source 

 2.4.1 en eerdere versies
 Alles
2.4.0-p1 en eerdere versies
 Alles
2.3.6 en eerdere versies 
 Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Releaseopmerkingen
Magento Commerce 
 2.4.2
 Alles
 2

 

 

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x
2.4.1-p1
 Alles
 2
2.3.6-p1 Alles
 2
Magento Open Source 
 2.4.2
 Alles 2
2.4.1-p1
 Alles 2
2.3.6-p1 Alles
 2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

 Magento Bug ID CVE-nummers
Insecure Direct Object Reference (IDOR)
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Nee
 PRODSECBUG-2812
 CVE-2021-21012
Insecure Direct Object Reference (IDOR)
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Nee
 PRODSECBUG-2815
 CVE-2021-21013
Omzeilen bestand uploaden voor lijst van gewenste personen
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2820
 CVE-2021-21014
Omzeilen van de beveiliging
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2830
 CVE-2021-21015
Omzeilen van de beveiliging
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2835
 CVE-2021-21016
Opdrachtinjectie
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2845
 CVE-2021-21018
XML-injectie
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2847
 CVE-2021-21019
Omzeilen van het toegangsbeheer
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Nee
 PRODSECBUG-2849
 CVE-2021-21020
Insecure Direct Object Reference (IDOR)
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Ja
 Nee
 PRODSECBUG-2863
 CVE-2021-21022
Cross-site scripting (opgeslagen)
Arbitraire uitvoering van JavaScript in de browser		 Belangrijk 
 Nee
 Ja
 PRODSECBUG-2893
 CVE-2021-21023
Blinde SQL-injectie
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Ja
 PRODSECBUG-2896
 CVE-2021-21024
Omzeilen van de beveiliging
 Uitvoering van willekeurige code 
 Kritiek
 Nee
 Ja
 PRODSECBUG-2900
 CVE-2021-21025
Onjuiste autorisatie
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Ja
 PRODSECBUG-2902
 CVE-2021-21026
Cross-Site Request Forgery
 Ongeautoriseerde wijziging van metadata van klant
 Gemiddeld
 Nee
 Nee
 PRODSECBUG-2903
 CVE-2021-21027
Scripts die verwijzen naar andere sites (gereflecteerd)
Arbitraire uitvoering van JavaScript in de browser		 Belangrijk 
 Ja
 Nee
 PRODSECBUG-2907
 CVE-2021-21029
Cross-site scripting (opgeslagen)
Arbitraire uitvoering van JavaScript in de browser		 Kritiek
 Ja
 Nee
 PRODSECBUG-2912
 CVE-2021-21030
Onvoldoende ongeldigverklaring van gebruikerssessie
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Nee
 PRODSECBUG-2914
 CVE-2021-21031
Onvoldoende ongeldigverklaring van gebruikerssessie
 Ongeautoriseerde toegang tot beperkte bronnen
 Belangrijk 
 Nee
 Nee
 MC-36608
 CVE-2021-21032
Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.

Updates voor afhankelijkheden

Afhankelijkheid

Impact van kwetsbaarheid

Van toepassing op de volgende versies

Hoekvormig

Prototypevervuiling

2.4.2, 2.4.1-p1, 2.3.6-p1

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer van Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022)
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (vestiging in Thailand) in samenwerking met het Vulnerability Lab van SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisies

09 februari 2021: Bijgewerkte dankbetuigingendetails over CVE-2021-21014.

Adobe-logo

Aanmelden bij je account

Snelkoppelingen

Je apps bekijken Je lidmaatschappen beheren

Vraag het de community

Vragen stellen en antwoord krijgen van experts.

Nu vragen

Contact met ons opnemen

Echte hulp van echte mensen.

Nu starten
^ Naar boven