Boletim de segurança da Adobe

Atualizações de segurança disponíveis para Magento | APSB21-08

ID do boletim

Data de publicação

Prioridade

ASPB21-08

09 de fevereiro de 2021      

2

Resumo

A Magento lançou atualizações para as edições do Magento Commerce e do Magento Open Source. Essas atualizações resolvem vulnerabilidades de classificação Importante e Crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.    

Versões afetadas

Produto Versão Plataforma

Magento Commerce 
2.4.1 e versões anteriores  
Todos
2.4.0-p1 e versões anteriores  
Todos
2.3.6 e versões anteriores 
Todos
Magento Open Source 

2.4.1 e versões anteriores
Todos
2.4.0-p1 e versões anteriores
Todos
2.3.6 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto Versão atualizada Plataforma Classificação de prioridade Notas de versão
Magento Commerce 
2.4.2
Todos
2

 

 

Notas de versão 2.4.x

Notas de versão 2.3.x

2.4.1-p1
Todos
2
2.3.6-p1 Todos
2
Magento Open Source 
2.4.2
Todos 2
2.4.1-p1
Todos 2
2.3.6-p1 Todos
2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Pré-autenticação? Privilégios de administrador necessários?

ID de Bug do Magento Números CVE
Referência de objeto direto insegura (IDOR)
Acesso não autorizado a recursos restritos
Importante 
Não
Não
PRODSECBUG-2812
CVE-2021-21012
Referência de objeto direto insegura (IDOR)
Acesso não autorizado a recursos restritos
Importante 
Não
Não
PRODSECBUG-2815
CVE-2021-21013
Ignorar lista de permissões de upload de arquivos
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2820
CVE-2021-21014
Bypass de segurança
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2830
CVE-2021-21015
Bypass de segurança
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2835
CVE-2021-21016
Injeção de comando
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2845
CVE-2021-21018
Injeção de XML
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2847
CVE-2021-21019
Ignorar controle de acesso
Acesso não autorizado a recursos restritos
Importante 
Não
Não
PRODSECBUG-2849
CVE-2021-21020
Referência de objeto direto insegura (IDOR)
Acesso não autorizado a recursos restritos
Importante 
Sim
Não
PRODSECBUG-2863
CVE-2021-21022
Criação de script entre sites (armazenado)
Execução arbitrária de JavaScript no navegador
Importante 
Não
Sim
PRODSECBUG-2893
CVE-2021-21023
Injeção de SQL cega
Acesso não autorizado a recursos restritos
Importante 
Não
Sim
PRODSECBUG-2896
CVE-2021-21024
Bypass de segurança
Execução de código arbitrária 
Crítico
Não
Sim
PRODSECBUG-2900
CVE-2021-21025
Autorização indevida
Acesso não autorizado a recursos restritos
Importante 
Não
Sim
PRODSECBUG-2902
CVE-2021-21026
Falsificação de solicitação entre sites
Modificação não autorizada de metadados de clientes
Moderado
Não
Não
PRODSECBUG-2903
CVE-2021-21027
Criação de script entre sites (refletido)
Execução arbitrária de JavaScript no navegador
Importante 
Sim
Não
PRODSECBUG-2907
CVE-2021-21029
Criação de script entre sites (armazenado) Execução arbitrária de JavaScript no navegador
Crítico
Sim
Não
PRODSECBUG-2912
CVE-2021-21030
Invalidação insuficiente da sessão do usuário
Acesso não autorizado a recursos restritos
Importante 
Não
Não
PRODSECBUG-2914
CVE-2021-21031
Invalidação insuficiente da sessão do usuário
Acesso não autorizado a recursos restritos
Importante 
Não
Não
MC-36608
CVE-2021-21032
Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.   

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.  

Descrições técnicas adicionais dos CVE mencionados neste documento serão disponibilizadas nos sites de MITRE e NVD.

Atualizações das dependências

Dependência

Impacto da vulnerabilidade

Versões afetadas

Angular

Poluição de protótipo

2.4.2, 2.4.1-p1, 2.3.6-p1

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer da Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lu (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) trabalhando com o Laboratório de Vulnerabilidade SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisões

09 de fevereiro de 2021: Detalhes atualizados de agradecimento sobre o CVE-2021-21014.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online