Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Magento | APSB21-08

ID buletin

Data publicării

Prioritatea

ASPB21-08

09 februarie 2021

2

Sumar

Magento a lansat actualizări pentru edițiile Magento Commerce și Magento Open Source.Aceste actualizări remediază vulnerabilități evaluate drept importante și critice. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.    

Versiunile afectate

Produs Versiunea Platformă

Magento Commerce 
2.4.1 și versiunile anterioare  
Toate
2.4.0-p1 și versiunile anterioare  
Toate
2.3.6 și versiunile anterioare 
Toate
Magento Open Source 

2.4.1 și versiunile anterioare
Toate
2.4.0-p1 și versiunile anterioare
Toate
2.3.6 și versiunile anterioare 
Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs Versiune actualizată Platformă Evaluare a priorității Note de lansare
Magento Commerce 
2.4.2
Toate
2

 

 

Notele versiunii 2.4.x

Notele versiunii 2.3.x

2.4.1-p1
Toate
2
2.3.6-p1 Toate
2
Magento Open Source 
2.4.2
Toate 2
2.4.1-p1
Toate 2
2.3.6-p1 Toate
2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Preauentificare? Sunt necesare privilegii de administrator?

Magento Bug ID Numere CVE
Referință directă la obiecte nesecurizată
Acces neautorizat la resurse restricționate
Importantă 
Nu
Nu
PRODSECBUG-2812
CVE-2021-21012
Referință directă la obiecte nesecurizată
Acces neautorizat la resurse restricționate
Importantă 
Nu
Nu
PRODSECBUG-2815
CVE-2021-21013
Ocolire a listei de permisiuni pentru încărcare de fișiere
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2820
CVE-2021-21014
Ocolirea securității
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2830
CVE-2021-21015
Ocolirea securității
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2835
CVE-2021-21016
Injectare comenzi
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2845
CVE-2021-21018
Injectare XML
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2847
CVE-2021-21019
Ocolirea controalelor de acces
Acces neautorizat la resurse restricționate
Importantă 
Nu
Nu
PRODSECBUG-2849
CVE-2021-21020
Referință directă la obiecte nesecurizată
Acces neautorizat la resurse restricționate
Importantă 
Da
Nu
PRODSECBUG-2863
CVE-2021-21022
Scriptare între site-uri (stocată)
Executare arbitrară de cod JavaScript în browser
Importantă 
Nu
Da
PRODSECBUG-2893
CVE-2021-21023
Injectare SQL în orb
Acces neautorizat la resurse restricționate
Importantă 
Nu
Da
PRODSECBUG-2896
CVE-2021-21024
Ocolirea securității
Executare de cod arbitrară 
Critică
Nu
Da
PRODSECBUG-2900
CVE-2021-21025
Autorizare inadecvată
Acces neautorizat la resurse restricționate
Importantă 
Nu
Da
PRODSECBUG-2902
CVE-2021-21026
Solicitări false între site-uri
Modificare neautorizată a metadatelor clienților
Moderată
Nu
Nu
PRODSECBUG-2903
CVE-2021-21027
Scriptare între site-uri (reflectată)
Executare arbitrară de cod JavaScript în browser
Importantă 
Da
Nu
PRODSECBUG-2907
CVE-2021-21029
Scriptare între site-uri (stocată) Executare arbitrară de cod JavaScript în browser
Critică
Da
Nu
PRODSECBUG-2912
CVE-2021-21030
Invalidare insuficientă a sesiunii de utilizator
Acces neautorizat la resurse restricționate
Importantă 
Nu
Nu
PRODSECBUG-2914
CVE-2021-21031
Invalidare insuficientă a sesiunii de utilizator
Acces neautorizat la resurse restricționate
Importantă 
Nu
Nu
MC-36608
CVE-2021-21032
Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Descrierile tehnice suplimentare ale CVE-urilor menționate în acest document vor fi disponibile pe site-urile MITRE și NVD.

Actualizări ale dependențelor

Dependență

Impactul vulnerabilității

Versiuni afectate

Unghiular

Poluarea prototipurilor

2.4.2, 2.4.1-p1, 2.3.6-p1

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de la Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (biroul din Thailanda) lucrând pentru laboratorul de studiere a vulnerabilităților SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revizii

09 februarie 2021: Detalii actualizate de mențiuni despre CVE-2021-21014.

Sigla Adobe

Conectați-vă la cont