Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Magento | APSB21-08

ID biuletynu

Data publikacji

Priorytet

ASPB21-08

9 lutego 2021 r.      

2

Podsumowanie

Firma Magento wydała aktualizacje wersji Magento Commerce i Magento Open Source. Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako poważnekrytyczne. Luki te mogą umożliwić wykonanie dowolnego kodu.    

Wersje, których dotyczy problem

Produkt Wersja Platforma

Magento Commerce 
2.4.1 i wcześniejsze wersje  
Wszystkie
2.4.0-p1 i starsze wersje  
Wszystkie
2.3.6 i wcześniejsze wersje 
Wszystkie
Magento Open Source 

2.4.1 i wcześniejsze wersje
Wszystkie
2.4.0-p1 i starsze wersje
Wszystkie
2.3.6 i wcześniejsze wersje 
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt Zaktualizowana wersja Platforma Ocena priorytetu Uwagi na temat wersji
Magento Commerce 
2.4.2
Wszystkie
2

 

 

Uwagi na temat wersji 2.4.x

Uwagi na temat wersji 2.3.x

2.4.1-p1
Wszystkie
2
2.3.6-p1 Wszystkie
2
Magento Open Source 
2.4.2
Wszystkie 2
2.4.1-p1
Wszystkie 2
2.3.6-p1 Wszystkie
2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach Wpływ luki w zabezpieczeniach Ważność Uwierzytelnianie wstępne? Wymagane uprawnienia administratora?

ID błędu Magento Numery CVE
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Nie
PRODSECBUG-2812
CVE-2021-21012
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Nie
PRODSECBUG-2815
CVE-2021-21013
Obejście listy Zezwalaj na przesyłanie plików
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2820
CVE-2021-21014
Ominięcie zabezpieczeń
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2830
CVE-2021-21015
Ominięcie zabezpieczeń
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2835
CVE-2021-21016
Wstrzyknięcie polecenia
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2845
CVE-2021-21018
Wstrzyknięcie kodu XML
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2847
CVE-2021-21019
Obejście kontroli dostępu
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Nie
PRODSECBUG-2849
CVE-2021-21020
Niezabezpieczone odwołanie bezpośrednie do obiektu (IDOR, Insecure Direct Object Reference)
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Tak
Nie
PRODSECBUG-2863
CVE-2021-21022
Skrypty międzywitrynowe (zapisane)
Dowolne wykonanie kodu JavaScript w przeglądarce
Istotna 
Nie
Tak
PRODSECBUG-2893
CVE-2021-21023
Ukryte wstrzyknięcie kodu SQL
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Tak
PRODSECBUG-2896
CVE-2021-21024
Ominięcie zabezpieczeń
Wykonanie dowolnego kodu 
Krytyczna
Nie
Tak
PRODSECBUG-2900
CVE-2021-21025
Niewłaściwe pozwolenie
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Tak
PRODSECBUG-2902
CVE-2021-21026
Fałszowanie żądania krzyżowego
Nieautoryzowana modyfikacja metadanych klientów
Średnia
Nie
Nie
PRODSECBUG-2903
CVE-2021-21027
Skrypty międzywitrynowe (odzwierciedlone)
Dowolne wykonanie kodu JavaScript w przeglądarce
Istotna 
Tak
Nie
PRODSECBUG-2907
CVE-2021-21029
Skrypty międzywitrynowe (zapisane) Dowolne wykonanie kodu JavaScript w przeglądarce
Krytyczna
Tak
Nie
PRODSECBUG-2912
CVE-2021-21030
Niewystarczające unieważnienie sesji użytkownika
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Nie
PRODSECBUG-2914
CVE-2021-21031
Niewystarczające unieważnienie sesji użytkownika
Nieautoryzowany dostęp do ograniczonych zasobów
Istotna 
Nie
Nie
MC-36608
CVE-2021-21032
Uwaga:

Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.

Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.

Dodatkowe opisy techniczne CVEs, do których odwołuje się ten dokument, będą udostępnione w serwisach MITRE i NVD.

Aktualizacje zależności

Zależność

Wpływ luki w zabezpieczeniach

Zagrożone wersje

Kątowe

Zanieczyszczanie prototypów

2.4.2, 2.4.1-p1, 2.3.6-p1

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer z firmy Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (biuro w Tajlandii) współpracujący z laboratorium SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Wersje

09 lutego 2021: Zaktualizowano szczegóły podziękowania dotyczące CVE-2021-21014.

Logo Adobe

Zaloguj się na swoje konto