Adobe – sikkerhetsbulletin

Søk

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB21-08

Bulletin-ID

Dato publisert

Prioritet

APSB21-08

9. februar 2021

2

Sammendrag

Magento har utgitt oppdateringer for Magento Commerce- og Magento Open Source-utgaver. Disse oppdateringene løser sårbarheter klassifisert som Viktig og Kritisk. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.    

Berørte versjoner

Produkt Versjon Plattform

Magento Commerce 
 2.4.1 og tidligere versjoner  
 Alle
2.4.0-p1 og eldre versjoner  
 Alle
2.3.6 og tidligere versjoner 
 Alle
Magento Open Source 

 2.4.1 og tidligere versjoner
 Alle
2.4.0-p1 og eldre versjoner 
 Alle
2.3.6 og tidligere versjoner 
 Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt Oppdatert versjon Plattform Prioritet Klassifisering Utgivelsesmerknader
Magento Commerce 
 2.4.2
 Alle
 2

 

 

2.4.x utgivelsesmerknader

2.3.x utgivelsesmerknader
2.4.1-p1
 Alle
 2
2.3.6-p1 Alle
 2
Magento Open Source 
 2.4.2
 Alle 2
2.4.1-p1
 Alle 2
2.3.6-p1 Alle
 2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Forhåndsautentisering? Kreves det admin-privilegier?

 Magento antivirus-ID CVE-numre
Usikker direkte objekt-referanse (IDOR)
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Nei
 PRODSECBUG-2812
 CVE-2021-21012
Usikker direkte objekt-referanse (IDOR)
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Nei
 PRODSECBUG-2815
 CVE-2021-21013
Filopplasting av tillatelsesliste-omgåelse
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2820
 CVE-2021-21014
Sikkerhetsomgåelse
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2830
 CVE-2021-21015
Sikkerhetsomgåelse
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2835
 CVE-2021-21016
Kommandoinjeksjon
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2845
 CVE-2021-21018
XML-injeksjon
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2847
 CVE-2021-21019
Omgåelse av tilgangskontroll
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Nei
 PRODSECBUG-2849
 CVE-2021-21020
Usikker direkte objekt-referanse (IDOR)
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Ja
 Nei
 PRODSECBUG-2863
 CVE-2021-21022
Skripting på tvers av nettsteder (lagret)
Vilkårlig JavaScript-utførelse i nettleseren
 Viktig 
 Nei
 Ja
 PRODSECBUG-2893
 CVE-2021-21023
Blind SQL-injeksjon
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Ja
 PRODSECBUG-2896
 CVE-2021-21024
Sikkerhetsomgåelse
 Vilkårlig kjøring av kode 
 Kritisk
 Nei
 Ja
 PRODSECBUG-2900
 CVE-2021-21025
Feil autorisasjon
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Ja
 PRODSECBUG-2902
 CVE-2021-21026
Forfalskning av forespørsel på tvers av nettsteder
 Uautorisert endring av metadata
 Moderat
 Nei
 Nei
 PRODSECBUG-2903
 CVE-2021-21027
Skripting på tvers av nettsteder (reflektert)
Vilkårlig JavaScript-utførelse i nettleseren
 Viktig 
 Ja
 Nei
 PRODSECBUG-2907
 CVE-2021-21029
Skripting på tvers av nettsteder (lagret) Vilkårlig JavaScript-utførelse i nettleseren
 Kritisk
 Ja
 Nei
 PRODSECBUG-2912
 CVE-2021-21030
Utilstrekkelig validering av brukerøkt
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Nei
 PRODSECBUG-2914
 CVE-2021-21031
Utilstrekkelig validering av brukerøkt
 Uautorisert tilgang til begrensede kilder
 Viktig 
 Nei
 Nei
 MC-36608
 CVE-2021-21032
Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Ekstra tekniske beskrivelser av CVE-er referert til i dette dokumentet vil gjøres tilgjengelig på nettstedene MITRE og NVD.

Oppdateringer av avhengigheter

Avhengighet

Sikkerhetsprobleminnvirkning

Berørte versjoner

Vinklet

Prototypeforurensning

2.4.2, 2.4.1-p1, 2.3.6-p1

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer hos Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Kontor i Tailand) samarbeider med SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisjoner

09. februar 2021: Oppdatert bekreftelse detaljer om CVE-2021-21014.

Få hjelp raskere og enklere

Ny bruker?

Hurtigkoblinger

Vis alle planene dine Administrer planene dine
Vis hurtigkoblinger
Skjul hurtigkoblinger