Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Magento | APSB21-08

Bulletin-id

Publicatiedatum

Prioriteit

ASPB21-08

9 februari 2021

2

Samenvatting

Magento heeft updates uitgebracht voor Magento Commerce- en Magento Open Source-edities.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product Versie Platform

Magento Commerce 
2.4.1 en eerdere versies
Alles
2.4.0-p1 en eerdere versies
Alles
2.3.6 en eerdere versies 
Alles
Magento Open Source 

2.4.1 en eerdere versies
Alles
2.4.0-p1 en eerdere versies
Alles
2.3.6 en eerdere versies 
Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product Bijgewerkte versie Platform Prioriteitsbeoordeling Releaseopmerkingen
Magento Commerce 
2.4.2
Alles
2

 

 

Releaseopmerkingen voor versie 2.4.x

Releaseopmerkingen voor versie 2.3.x

2.4.1-p1
Alles
2
2.3.6-p1 Alles
2
Magento Open Source 
2.4.2
Alles 2
2.4.1-p1
Alles 2
2.3.6-p1 Alles
2

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

Magento Bug ID CVE-nummers
Insecure Direct Object Reference (IDOR)
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Nee
PRODSECBUG-2812
CVE-2021-21012
Insecure Direct Object Reference (IDOR)
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Nee
PRODSECBUG-2815
CVE-2021-21013
Omzeilen bestand uploaden voor lijst van gewenste personen
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2820
CVE-2021-21014
Omzeilen van de beveiliging
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2830
CVE-2021-21015
Omzeilen van de beveiliging
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2835
CVE-2021-21016
Opdrachtinjectie
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2845
CVE-2021-21018
XML-injectie
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2847
CVE-2021-21019
Omzeilen van het toegangsbeheer
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Nee
PRODSECBUG-2849
CVE-2021-21020
Insecure Direct Object Reference (IDOR)
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Ja
Nee
PRODSECBUG-2863
CVE-2021-21022
Cross-site scripting (opgeslagen)

Arbitraire uitvoering van JavaScript in de browser
Belangrijk 
Nee
Ja
PRODSECBUG-2893
CVE-2021-21023
Blinde SQL-injectie
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Ja
PRODSECBUG-2896
CVE-2021-21024
Omzeilen van de beveiliging
Uitvoering van willekeurige code 
Kritiek
Nee
Ja
PRODSECBUG-2900
CVE-2021-21025
Onjuiste autorisatie
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Ja
PRODSECBUG-2902
CVE-2021-21026
Cross-Site Request Forgery
Ongeautoriseerde wijziging van metadata van klant
Gemiddeld
Nee
Nee
PRODSECBUG-2903
CVE-2021-21027
Scripts die verwijzen naar andere sites (gereflecteerd)

Arbitraire uitvoering van JavaScript in de browser
Belangrijk 
Ja
Nee
PRODSECBUG-2907
CVE-2021-21029
Cross-site scripting (opgeslagen)
Arbitraire uitvoering van JavaScript in de browser
Kritiek
Ja
Nee
PRODSECBUG-2912
CVE-2021-21030
Onvoldoende ongeldigverklaring van gebruikerssessie
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Nee
PRODSECBUG-2914
CVE-2021-21031
Onvoldoende ongeldigverklaring van gebruikerssessie
Ongeautoriseerde toegang tot beperkte bronnen
Belangrijk 
Nee
Nee
MC-36608
CVE-2021-21032
Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.

Updates voor afhankelijkheden

Afhankelijkheid

Impact van kwetsbaarheid

Van toepassing op de volgende versies

Hoekvormig

Prototypevervuiling

2.4.2, 2.4.1-p1, 2.3.6-p1

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer van Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022)
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (vestiging in Thailand) in samenwerking met het Vulnerability Lab van SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisies

09 februari 2021: Bijgewerkte dankbetuigingendetails over CVE-2021-21014.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?