Adobe Güvenlik Bülteni

Ara

Magento için güvenlik güncellemeleri mevcut | APSB21-08

Bülten No

Yayınlandığı Tarih

Öncelik

APSB21-08

02/09/2021

2

Özet

Magento, Magento Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı. Bu güncellemeler önemli ve kritik güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.    

Etkilenen Sürümler

Ürün Sürüm Platform

Magento Commerce 
 2.4.1 ve önceki sürümler  
 Tümü
2.4.0-p1 ve önceki sürümler  
 Tümü
2.3.6 ve önceki sürümler 
 Tümü
Magento Açık Kaynak 

 2.4.1 ve önceki sürümler
 Tümü
2.4.0-p1 ve önceki sürümler
 Tümü
2.3.6 ve önceki sürümler 
 Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün Güncellenen Sürüm Platform Öncelik Derecelendirme Sürüm Notları
Magento Commerce 
 2.4.2
 Tümü
 2

 

 

2.4.x sürüm notları

2.3.x sürüm notları
2.4.1-p1
 Tümü
 2
2.3.6-p1 Tümü
 2
Magento Open Source 
 2.4.2
 Tümü 2
2.4.1-p1
 Tümü 2
2.3.6-p1 Tümü
 2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Ön kimlik doğrulama? Yönetici ayrıcalıkları gerekli?

 Magento Bug ID CVE numaraları
Güvenliksiz Doğrudan Obje Referansı (IDOR)
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Hayır
 PRODSECBUG-2812
 CVE-2021-21012
Güvenliksiz Doğrudan Obje Referansı (IDOR)
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Hayır
 PRODSECBUG-2815
 CVE-2021-21013
Dosya Yükleme İzin Verilenler Listesi Baypası
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2820
 CVE-2021-21014
Güvenlik atlatması
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2830
 CVE-2021-21015
Güvenlik atlatması
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2835
 CVE-2021-21016
Komut ekleme
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2845
 CVE-2021-21018
XML enjeksiyonu
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2847
 CVE-2021-21019
Erişim kontrolü baypası
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Hayır
 PRODSECBUG-2849
 CVE-2021-21020
Güvenliksiz Doğrudan Obje Referansı (IDOR)
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Evet
 Hayır
 PRODSECBUG-2863
 CVE-2021-21022
Çapraz site dizgeleme (Saklanmış)
 Tarayıcıda gelişigüzel JavaScript çalıştırma
 Önemli 
 Hayır
 Evet
 PRODSECBUG-2893
 CVE-2021-21023
Kör SQL enjeksiyonu
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Evet
 PRODSECBUG-2896
 CVE-2021-21024
Güvenlik atlatması
 Rastgele kod yürütme 
 Kritik
 Hayır
 Evet
 PRODSECBUG-2900
 CVE-2021-21025
Uygunsuz Yetkilendirme
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Evet
 PRODSECBUG-2902
 CVE-2021-21026
Siteler arası istek dolandırıcılığı
 Müşteri metaverisinin yetkisiz şekilde değiştirilmesi
 Orta Dereceli
 Hayır
 Hayır
 PRODSECBUG-2903
 CVE-2021-21027
Çapraz site dizgeleme (yansıtılmış)
 Tarayıcıda gelişigüzel JavaScript çalıştırma
 Önemli 
 Evet
 Hayır
 PRODSECBUG-2907
 CVE-2021-21029
Çapraz site dizgeleme (Saklanmış) Tarayıcıda gelişigüzel JavaScript çalıştırma
 Kritik
 Evet
 Hayır
 PRODSECBUG-2912
 CVE-2021-21030
Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Hayır
 PRODSECBUG-2914
 CVE-2021-21031
Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması
 Kısıtlı kaynaklara yetkisiz erişim
 Önemli 
 Hayır
 Hayır
 MC-36608
 CVE-2021-21032
Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Bu belgede geçen CVE'lerin ek teknik açıklamaları MITRE ve NVD sitelerinde mevcut olacaktır.

Bağlılık güncellemeleri

Bağlılık

Güvenlik Açığı Etkisi

Etkilenen Sürümler

Açılı

Prototip Kirliliği

2.4.2, 2.4.1-p1, 2.3.6-p1

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Bugscale'dan Edgar Boda-Majer (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • SEC Consult Vulnerability Lab (CVE-2021-21029) ile çalışan Natsasit Jirathammanuwat (Office Thailand).
  • Anas (CVE-2021-21031)

Değişiklikler

09 Şubat 2021: CVE-2021-21014 hakkında güncelleştirilmiş onay detayları.

Adobe logosu

Hesabınıza giriş yapın

Hızlı bağlantılar

Tüm planlarınızı görüntüleyin Planlarınızı yönetin