Adobe-säkerhetsbulletin

Sök

Säkerhetsuppdateringar för Magento | APSB21-08

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB21-08

den 9 februari 2021

2

Sammanfattning

Magento har släppt uppdateringar för versionerna Magento Commerce och Magento Open Source. Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och kritiska. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.    

Berörda versioner

Produkt Version Plattform

Magento Commerce 
 2.4.1 och tidigare versioner  
 Alla
2.4.0-p1 och tidigare versioner  
 Alla
2.3.6 och tidigare versioner 
 Alla
Magento Open Source 

 2.4.1 och tidigare versioner
 Alla
2.4.0-p1 och tidigare versioner
 Alla
2.3.6 och tidigare versioner 
 Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritet Versionsinformation
Magento Commerce 
 2.4.2
 Alla
 2

 

 

Versionsinformation 2.4.x

Versionsinformation 2.3.x
2.4.1-p1
 Alla
 2
2.3.6-p1 Alla
 2
Magento Open Source 
 2.4.2
 Alla 2
2.4.1-p1
 Alla 2
2.3.6-p1 Alla
 2

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Förautentisering? Krävs administratörsbehörighet?

 Magento fel-ID CVE-nummer
IDOR (Insecure Direct Object Reference)
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Nej
 PRODSECBUG-2812
 CVE-2021-21012
IDOR (Insecure Direct Object Reference)
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Nej
 PRODSECBUG-2815
 CVE-2021-21013
Åsidosätt lista över tillåtna filöverföringar
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2820
 CVE-2021-21014
Kringgående av säkerhet
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2830
 CVE-2021-21015
Kringgående av säkerhet
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2835
 CVE-2021-21016
Kommandoinjektion
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2845
 CVE-2021-21018
XML-injektion
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2847
 CVE-2021-21019
Åsidosätt åtkomstkontroll
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Nej
 PRODSECBUG-2849
 CVE-2021-21020
IDOR (Insecure Direct Object Reference)
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Ja
 Nej
 PRODSECBUG-2863
 CVE-2021-21022
Serveröverskridande skriptning (lagrad)
 Godtycklig JavaScript-körning i webbläsaren
 Viktig 
 Nej
 Ja
 PRODSECBUG-2893
 CVE-2021-21023
Blind SQL-injektion
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Ja
 PRODSECBUG-2896
 CVE-2021-21024
Kringgående av säkerhet
 Exekvering av godtycklig kod 
 Kritisk
 Nej
 Ja
 PRODSECBUG-2900
 CVE-2021-21025
Felaktig auktorisering
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Ja
 PRODSECBUG-2902
 CVE-2021-21026
Serveröverskridande förfalskade begäranden
 Obehörig ändring av kundmetadata
 Måttlig
 Nej
 Nej
 PRODSECBUG-2903
 CVE-2021-21027
Serveröverskridande skriptning (speglad)
 Godtycklig JavaScript-körning i webbläsaren
 Viktig 
 Ja
 Nej
 PRODSECBUG-2907
 CVE-2021-21029
Serveröverskridande skriptning (lagrad) Godtycklig JavaScript-körning i webbläsaren
 Kritisk
 Ja
 Nej
 PRODSECBUG-2912
 CVE-2021-21030
Otillräcklig verifiering av användarsession
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Nej
 PRODSECBUG-2914
 CVE-2021-21031
Otillräcklig verifiering av användarsession
 Obehörig åtkomst till begränsade resurser
 Viktig 
 Nej
 Nej
 MC-36608
 CVE-2021-21032
Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Ytterligare tekniska beskrivningar av de CVE-nummer som refereras i det här dokumentet kommer att göras tillgängliga på MITRE- och NVD-webbplatserna.

Uppdateringar av beroenden

Beroende

Sårbarhetens inverkan

Berörda versioner

Vinkel

Protokollföroreningar

2.4.2, 2.4.1-p1, 2.3.6-p1

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer från Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) i samarbete med SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisioner

9 februari 2021: Uppdaterad bekräftelse detaljer om CVE-2021-21014.

Adobe, Inc.

Få hjälp snabbare och enklare

Ny användare?

Snabblänkar

Visa alla dina planer Hantera dina planer
Visa snabblänkar
Dölj snabblänkar

Ställ en fråga i användarforumet

Ställ frågor och få svar från experterna.

Fråga nu

Kontakta oss

Expertsupport för dina problem.

Starta nu
^ Överst