Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Dostępne aktualizacje zabezpieczeń programu Magento | APSB21-08

ID biuletynu

Data publikacji

Priorytet

ASPB21-08

9 lutego 2021 r.      

2

Podsumowanie

Firma Magento wydała aktualizacje wersji Magento Commerce i Magento Open Source. Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako poważnekrytyczne. Luki te mogą umożliwić wykonanie dowolnego kodu.    

Wersje, których dotyczy problem

Produkt Wersja Platforma

Magento Commerce 
 2.4.1 i wcześniejsze wersje  
 Wszystkie
2.4.0-p1 i starsze wersje  
 Wszystkie
2.3.6 i wcześniejsze wersje 
 Wszystkie
Magento Open Source 

 2.4.1 i wcześniejsze wersje
 Wszystkie
2.4.0-p1 i starsze wersje
 Wszystkie
2.3.6 i wcześniejsze wersje 
 Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Uwagi na temat wersji
Magento Commerce 
 2.4.2
 Wszystkie
 2

 

 

Uwagi na temat wersji 2.4.x

Uwagi na temat wersji 2.3.x
2.4.1-p1
 Wszystkie
 2
2.3.6-p1 Wszystkie
 2
Magento Open Source 
 2.4.2
 Wszystkie 2
2.4.1-p1
 Wszystkie 2
2.3.6-p1 Wszystkie
 2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ważność Uwierzytelnianie wstępne? Wymagane uprawnienia administratora?

 ID błędu Magento Numery CVE
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Nie
 PRODSECBUG-2812
 CVE-2021-21012
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Nie
 PRODSECBUG-2815
 CVE-2021-21013
Obejście listy Zezwalaj na przesyłanie plików
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2820
 CVE-2021-21014
Ominięcie zabezpieczeń
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2830
 CVE-2021-21015
Ominięcie zabezpieczeń
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2835
 CVE-2021-21016
Wstrzyknięcie polecenia
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2845
 CVE-2021-21018
Wstrzyknięcie kodu XML
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2847
 CVE-2021-21019
Obejście kontroli dostępu
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Nie
 PRODSECBUG-2849
 CVE-2021-21020
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Tak
 Nie
 PRODSECBUG-2863
 CVE-2021-21022
Skrypty międzywitrynowe (zapisane)
 Dowolne wykonanie kodu JavaScript w przeglądarce
 Istotna 
 Nie
 Tak
 PRODSECBUG-2893
 CVE-2021-21023
Ukryte wstrzyknięcie kodu SQL
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Tak
 PRODSECBUG-2896
 CVE-2021-21024
Ominięcie zabezpieczeń
 Wykonanie dowolnego kodu 
 Krytyczna
 Nie
 Tak
 PRODSECBUG-2900
 CVE-2021-21025
Niewłaściwe pozwolenie
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Tak
 PRODSECBUG-2902
 CVE-2021-21026
Fałszowanie żądania krzyżowego
 Nieautoryzowana modyfikacja metadanych klientów
 Średnia
 Nie
 Nie
 PRODSECBUG-2903
 CVE-2021-21027
Skrypty międzywitrynowe (odzwierciedlone)
 Dowolne wykonanie kodu JavaScript w przeglądarce
 Istotna 
 Tak
 Nie
 PRODSECBUG-2907
 CVE-2021-21029
Skrypty międzywitrynowe (zapisane) Dowolne wykonanie kodu JavaScript w przeglądarce
 Krytyczna
 Tak
 Nie
 PRODSECBUG-2912
 CVE-2021-21030
Niewystarczające unieważnienie sesji użytkownika
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Nie
 PRODSECBUG-2914
 CVE-2021-21031
Niewystarczające unieważnienie sesji użytkownika
 Nieautoryzowany dostęp do ograniczonych zasobów
 Istotna 
 Nie
 Nie
 MC-36608
 CVE-2021-21032
Uwaga:

Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.

Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.

Dodatkowe opisy techniczne CVEs, do których odwołuje się ten dokument, będą udostępnione w serwisach MITRE i NVD.

Aktualizacje zależności

Zależność

Wpływ luki w zabezpieczeniach

Zagrożone wersje

Kątowe

Zanieczyszczanie prototypów

2.4.2, 2.4.1-p1, 2.3.6-p1

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer z firmy Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (biuro w Tajlandii) współpracujący z laboratorium SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Wersje

09 lutego 2021: Zaktualizowano szczegóły podziękowania dotyczące CVE-2021-21014.

Logo Adobe

Zaloguj się na swoje konto

Podręczne łącza

Wyświetl swoje plany Zarządzaj planami