Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Magento | APSB21-08

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB21-08

den 9 februari 2021

2

Sammanfattning

Magento har släppt uppdateringar för versionerna Magento Commerce och Magento Open Source. Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och kritiska. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.    

Berörda versioner

Produkt Version Plattform

Magento Commerce 
2.4.1 och tidigare versioner  
Alla
2.4.0-p1 och tidigare versioner  
Alla
2.3.6 och tidigare versioner 
Alla
Magento Open Source 

2.4.1 och tidigare versioner
Alla
2.4.0-p1 och tidigare versioner
Alla
2.3.6 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt Uppdaterad version Plattform Prioritet Versionsinformation
Magento Commerce 
2.4.2
Alla
2

 

 

Versionsinformation 2.4.x

Versionsinformation 2.3.x

2.4.1-p1
Alla
2
2.3.6-p1 Alla
2
Magento Open Source 
2.4.2
Alla 2
2.4.1-p1
Alla 2
2.3.6-p1 Alla
2

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Förautentisering? Krävs administratörsbehörighet?

Magento fel-ID CVE-nummer
IDOR (Insecure Direct Object Reference)
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Nej
PRODSECBUG-2812
CVE-2021-21012
IDOR (Insecure Direct Object Reference)
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Nej
PRODSECBUG-2815
CVE-2021-21013
Åsidosätt lista över tillåtna filöverföringar
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2820
CVE-2021-21014
Kringgående av säkerhet
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2830
CVE-2021-21015
Kringgående av säkerhet
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2835
CVE-2021-21016
Kommandoinjektion
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2845
CVE-2021-21018
XML-injektion
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2847
CVE-2021-21019
Åsidosätt åtkomstkontroll
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Nej
PRODSECBUG-2849
CVE-2021-21020
IDOR (Insecure Direct Object Reference)
Obehörig åtkomst till begränsade resurser
Viktig 
Ja
Nej
PRODSECBUG-2863
CVE-2021-21022
Serveröverskridande skriptning (lagrad)
Godtycklig JavaScript-körning i webbläsaren
Viktig 
Nej
Ja
PRODSECBUG-2893
CVE-2021-21023
Blind SQL-injektion
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Ja
PRODSECBUG-2896
CVE-2021-21024
Kringgående av säkerhet
Exekvering av godtycklig kod 
Kritisk
Nej
Ja
PRODSECBUG-2900
CVE-2021-21025
Felaktig auktorisering
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Ja
PRODSECBUG-2902
CVE-2021-21026
Serveröverskridande förfalskade begäranden
Obehörig ändring av kundmetadata
Måttlig
Nej
Nej
PRODSECBUG-2903
CVE-2021-21027
Serveröverskridande skriptning (speglad)
Godtycklig JavaScript-körning i webbläsaren
Viktig 
Ja
Nej
PRODSECBUG-2907
CVE-2021-21029
Serveröverskridande skriptning (lagrad) Godtycklig JavaScript-körning i webbläsaren
Kritisk
Ja
Nej
PRODSECBUG-2912
CVE-2021-21030
Otillräcklig verifiering av användarsession
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Nej
PRODSECBUG-2914
CVE-2021-21031
Otillräcklig verifiering av användarsession
Obehörig åtkomst till begränsade resurser
Viktig 
Nej
Nej
MC-36608
CVE-2021-21032
Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Ytterligare tekniska beskrivningar av de CVE-nummer som refereras i det här dokumentet kommer att göras tillgängliga på MITRE- och NVD-webbplatserna.

Uppdateringar av beroenden

Beroende

Sårbarhetens inverkan

Berörda versioner

Vinkel

Protokollföroreningar

2.4.2, 2.4.1-p1, 2.3.6-p1

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Edgar Boda-Majer från Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • Natsasit Jirathammanuwat (Office Thailand) i samarbete med SEC Consult Vulnerability Lab (CVE-2021-21029)
  • Anas (CVE-2021-21031)

Revisioner

9 februari 2021: Uppdaterad bekräftelse detaljer om CVE-2021-21014.

 Adobe

Få hjälp snabbare och enklare

Ny användare?