Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB21-08
|
Publicatiedatum |
Prioriteit |
---|---|---|
ASPB21-08 |
9 februari 2021 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce- en Magento Open Source-edities.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
Product | Versie | Platform |
---|---|---|
Magento Commerce |
2.4.1 en eerdere versies |
Alles |
2.4.0-p1 en eerdere versies |
Alles | |
2.3.6 en eerdere versies |
Alles |
|
Magento Open Source |
2.4.1 en eerdere versies |
Alles |
2.4.0-p1 en eerdere versies |
Alles | |
2.3.6 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product | Bijgewerkte versie | Platform | Prioriteitsbeoordeling | Releaseopmerkingen |
---|---|---|---|---|
Magento Commerce |
2.4.2 |
Alles |
2 |
|
2.4.1-p1 |
Alles |
2 |
||
2.3.6-p1 | Alles |
2 |
||
Magento Open Source |
2.4.2 |
Alles | 2 | |
2.4.1-p1 |
Alles | 2 | ||
2.3.6-p1 | Alles |
2 |
Details van kwetsbaarheid
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.
Updates voor afhankelijkheden
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
---|---|---|
Hoekvormig |
Prototypevervuiling |
2.4.2, 2.4.1-p1, 2.3.6-p1 |
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:
- Malerisch (CVE-2021-21012)
- Niels Pijpers (CVE-2021-21013)
- Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
- Kien Hoang (hoangkien1020) (CVE-2021-21014)
- Edgar Boda-Majer van Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022)
- Kien Hoang (CVE-2021-21020)
- bobbytabl35_ (CVE-2021-21023)
- Wohlie (CVE-2021-21024)
- Peter O'Callaghan (CVE-2021-21025)
- Kiên Ka Lư (CVE-2021-21026)
- Lachlan Davidson (CVE-2021-21027)
- Natsasit Jirathammanuwat (vestiging in Thailand) in samenwerking met het Vulnerability Lab van SEC Consult (CVE-2021-21029)
- Anas (CVE-2021-21031)
Revisies
09 februari 2021: Bijgewerkte dankbetuigingendetails over CVE-2021-21014.