Buletin de securitate Adobe

Căutare

Actualizări de securitate disponibile pentru Magento | APSB21-08

ID buletin

Data publicării

Prioritatea

ASPB21-08

09 februarie 2021

2

Sumar

Magento a lansat actualizări pentru edițiile Magento Commerce și Magento Open Source.Aceste actualizări remediază vulnerabilități evaluate drept importante și critice. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.    

Versiunile afectate

Produs Versiunea Platformă

Magento Commerce 
 2.4.1 și versiunile anterioare  
 Toate
2.4.0-p1 și versiunile anterioare  
 Toate
2.3.6 și versiunile anterioare 
 Toate
Magento Open Source 

 2.4.1 și versiunile anterioare
 Toate
2.4.0-p1 și versiunile anterioare
 Toate
2.3.6 și versiunile anterioare 
 Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs Versiune actualizată Platformă Evaluare a priorității Note de lansare
Magento Commerce 
 2.4.2
 Toate
 2

 

 

Notele versiunii 2.4.x

Notele versiunii 2.3.x
2.4.1-p1
 Toate
 2
2.3.6-p1 Toate
 2
Magento Open Source 
 2.4.2
 Toate 2
2.4.1-p1
 Toate 2
2.3.6-p1 Toate
 2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Preauentificare? Sunt necesare privilegii de administrator?

 Magento Bug ID Numere CVE
Referință directă la obiecte nesecurizată
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Nu
 PRODSECBUG-2812
 CVE-2021-21012
Referință directă la obiecte nesecurizată
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Nu
 PRODSECBUG-2815
 CVE-2021-21013
Ocolire a listei de permisiuni pentru încărcare de fișiere
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2820
 CVE-2021-21014
Ocolirea securității
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2830
 CVE-2021-21015
Ocolirea securității
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2835
 CVE-2021-21016
Injectare comenzi
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2845
 CVE-2021-21018
Injectare XML
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2847
 CVE-2021-21019
Ocolirea controalelor de acces
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Nu
 PRODSECBUG-2849
 CVE-2021-21020
Referință directă la obiecte nesecurizată
 Acces neautorizat la resurse restricționate
 Importantă 
 Da
 Nu
 PRODSECBUG-2863
 CVE-2021-21022
Scriptare între site-uri (stocată)
Executare arbitrară de cod JavaScript în browser
 Importantă 
 Nu
 Da
 PRODSECBUG-2893
 CVE-2021-21023
Injectare SQL în orb
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Da
 PRODSECBUG-2896
 CVE-2021-21024
Ocolirea securității
 Executare de cod arbitrară 
 Critică
 Nu
 Da
 PRODSECBUG-2900
 CVE-2021-21025
Autorizare inadecvată
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Da
 PRODSECBUG-2902
 CVE-2021-21026
Solicitări false între site-uri
 Modificare neautorizată a metadatelor clienților
 Moderată
 Nu
 Nu
 PRODSECBUG-2903
 CVE-2021-21027
Scriptare între site-uri (reflectată)
 Executare arbitrară de cod JavaScript în browser
 Importantă 
 Da
 Nu
 PRODSECBUG-2907
 CVE-2021-21029
Scriptare între site-uri (stocată) Executare arbitrară de cod JavaScript în browser
 Critică
 Da
 Nu
 PRODSECBUG-2912
 CVE-2021-21030
Invalidare insuficientă a sesiunii de utilizator
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Nu
 PRODSECBUG-2914
 CVE-2021-21031
Invalidare insuficientă a sesiunii de utilizator
 Acces neautorizat la resurse restricționate
 Importantă 
 Nu
 Nu
 MC-36608
 CVE-2021-21032
Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Descrierile tehnice suplimentare ale CVE-urilor menționate în acest document vor fi disponibile pe site-urile MITRE și NVD.

Actualizări ale dependențelor

Dependență

Impactul vulnerabilității

Versiuni afectate

Unghiular

Poluarea prototipurilor

2.4.2, 2.4.1-p1, 2.3.6-p1

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer de la Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (biroul din Thailanda) lucrând pentru laboratorul de studiere a vulnerabilităților SEC Consult (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revizii

09 februarie 2021: Detalii actualizate de mențiuni despre CVE-2021-21014.

Sigla Adobe

Conectați-vă la cont

Linkuri rapide

Vizualizați toate planurile dvs. Gestionați-vă planurile