Бюллетень безопасности Adobe

Обновления системы безопасности для Magento | APSB21-08

Идентификатор бюллетеня

Дата публикации

Приоритет

ASPB21-08

09 февраля 2021 г.

2

Сводка

Компания Magento выпустила обновления для версий Magento Commerce и Magento Open Source.В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические. При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.

Затрагиваемые версии

Продукт Версия Платформа

Magento Commerce 
2.4.1 и более ранние версии  
Все
2.4.0-p1 и более ранние версии  
Все
2.3.6 и более ранние версии 
Все
Magento Open Source 

2.4.1 и более ранние версии
Все
2.4.0-p1 и более ранние версии 
Все
2.3.6 и более ранние версии 
Все

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Обновленная версия Платформа Рейтинг приоритета Сведения о выпуске
Magento Commerce 
2.4.2
Все
2

 

 

Заметки о выпуске 2.4.x

Заметки о выпуске 2.3.x

2.4.1-p1
Все
2
2.3.6-p1 Все
2
Magento Open Source 
2.4.2
Все 2
2.4.1-p1
Все 2
2.3.6-p1 Все
2

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Предварительная проверка подлинности? Требуются права администратора?

Magento Bug ID Номера CVE
Небезопасная прямая ссылка на объект
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Нет
PRODSECBUG-2812
CVE-2021-21012
Небезопасная прямая ссылка на объект
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Нет
PRODSECBUG-2815
CVE-2021-21013
Обход списка разрешений при выгрузке файлов
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2820
CVE-2021-21014
Возможность обхода системы безопасности
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2830
CVE-2021-21015
Возможность обхода системы безопасности
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2835
CVE-2021-21016
Вставка команды
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2845
CVE-2021-21018
Добавление XML-кода
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2847
CVE-2021-21019
Обход средств контроля доступа
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Нет
PRODSECBUG-2849
CVE-2021-21020
Небезопасная прямая ссылка на объект
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Да
Нет
PRODSECBUG-2863
CVE-2021-21022
Межсайтовый скриптинг (сохраненный)
Выполнение произвольного сценария JavaScript в браузере
Важная 
Нет
Да
PRODSECBUG-2893
CVE-2021-21023
Слепое внедрение кода SQL
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Да
PRODSECBUG-2896
CVE-2021-21024
Возможность обхода системы безопасности
Выполнение произвольного кода 
Критическая
Нет
Да
PRODSECBUG-2900
CVE-2021-21025
Неверная авторизация
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Да
PRODSECBUG-2902
CVE-2021-21026
Подделка межсайтовых запросов
Несанкционированное изменение метаданных заказчиков
Средняя
Нет
Нет
PRODSECBUG-2903
CVE-2021-21027
Межсайтовый скриптинг (отраженный)
Выполнение произвольного сценария JavaScript в браузере
Важная 
Да
Нет
PRODSECBUG-2907
CVE-2021-21029
Межсайтовый скриптинг (сохраненный) Выполнение произвольного сценария JavaScript в браузере
Критическая
Да
Нет
PRODSECBUG-2912
CVE-2021-21030
Отсутствует завершение сеанса пользователя
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Нет
PRODSECBUG-2914
CVE-2021-21031
Отсутствует завершение сеанса пользователя
Несанкционированный доступ к ресурсам с ограниченным доступом
Важная 
Нет
Нет
MC-36608
CVE-2021-21032
Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.   

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.  

Дополнительные технические описания уязвимостей CVE, упоминаемых в этом документе, будут доступны на сайтах MITRE и NVD.

Обновления для зависимостей

Зависимость

Влияние уязвимости

Затронутые версии

Угловые

Засорение прототипов

2.4.2, 2.4.1-p1, 2.3.6-p1

Благодарности

Компания Adobe приносит следующим людям благодарность за сообщение о значимых проблемах и за помощь Adobe в обеспечении защиты наших клиентов:   

  • Малериш (CVE-2021-21012)
  • Нильс Пийперс (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Эдгар Бода-Майер, Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Киен Хоанг (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Уоли (CVE-2021-21024)
  • Питер О'Каллаган (CVE-2021-21025)
  • Киен Ка Лю (CVE-2021-21026)
  • Локлан Дэвидсон (CVE-2021-21027)
  • Натсасит Джиратаммниват (офис в Тайланде), работающий с SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Анас (CVE-2021-21031)

Редакции

09 февраля 2021 г.: Обновленная информация о признании О'CVE-2021-21014.

Логотип Adobe

Вход в учетную запись