Adobe Güvenlik Bülteni

Magento için güvenlik güncellemeleri mevcut | APSB21-08

Bülten No

Yayınlandığı Tarih

Öncelik

APSB21-08

02/09/2021

2

Özet

Magento, Magento Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı. Bu güncellemeler önemli ve kritik güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.    

Etkilenen Sürümler

Ürün Sürüm Platform

Magento Commerce 
2.4.1 ve önceki sürümler  
Tümü
2.4.0-p1 ve önceki sürümler  
Tümü
2.3.6 ve önceki sürümler 
Tümü
Magento Açık Kaynak 

2.4.1 ve önceki sürümler
Tümü
2.4.0-p1 ve önceki sürümler
Tümü
2.3.6 ve önceki sürümler 
Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün Güncellenen Sürüm Platform Öncelik Derecelendirme Sürüm Notları
Magento Commerce 
2.4.2
Tümü
2

 

 

2.4.x sürüm notları

2.3.x sürüm notları

2.4.1-p1
Tümü
2
2.3.6-p1 Tümü
2
Magento Open Source 
2.4.2
Tümü 2
2.4.1-p1
Tümü 2
2.3.6-p1 Tümü
2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi Güvenlik Açığı Etkisi Önem Derecesi Ön kimlik doğrulama? Yönetici ayrıcalıkları gerekli?

Magento Bug ID CVE numaraları
Güvenliksiz Doğrudan Obje Referansı (IDOR)
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Hayır
PRODSECBUG-2812
CVE-2021-21012
Güvenliksiz Doğrudan Obje Referansı (IDOR)
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Hayır
PRODSECBUG-2815
CVE-2021-21013
Dosya Yükleme İzin Verilenler Listesi Baypası
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2820
CVE-2021-21014
Güvenlik atlatması
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2830
CVE-2021-21015
Güvenlik atlatması
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2835
CVE-2021-21016
Komut ekleme
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2845
CVE-2021-21018
XML enjeksiyonu
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2847
CVE-2021-21019
Erişim kontrolü baypası
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Hayır
PRODSECBUG-2849
CVE-2021-21020
Güvenliksiz Doğrudan Obje Referansı (IDOR)
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Evet
Hayır
PRODSECBUG-2863
CVE-2021-21022
Çapraz site dizgeleme (Saklanmış)
Tarayıcıda gelişigüzel JavaScript çalıştırma
Önemli 
Hayır
Evet
PRODSECBUG-2893
CVE-2021-21023
Kör SQL enjeksiyonu
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Evet
PRODSECBUG-2896
CVE-2021-21024
Güvenlik atlatması
Rastgele kod yürütme 
Kritik
Hayır
Evet
PRODSECBUG-2900
CVE-2021-21025
Uygunsuz Yetkilendirme
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Evet
PRODSECBUG-2902
CVE-2021-21026
Siteler arası istek dolandırıcılığı
Müşteri metaverisinin yetkisiz şekilde değiştirilmesi
Orta Dereceli
Hayır
Hayır
PRODSECBUG-2903
CVE-2021-21027
Çapraz site dizgeleme (yansıtılmış)
Tarayıcıda gelişigüzel JavaScript çalıştırma
Önemli 
Evet
Hayır
PRODSECBUG-2907
CVE-2021-21029
Çapraz site dizgeleme (Saklanmış) Tarayıcıda gelişigüzel JavaScript çalıştırma
Kritik
Evet
Hayır
PRODSECBUG-2912
CVE-2021-21030
Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Hayır
PRODSECBUG-2914
CVE-2021-21031
Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması
Kısıtlı kaynaklara yetkisiz erişim
Önemli 
Hayır
Hayır
MC-36608
CVE-2021-21032
Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Bu belgede geçen CVE'lerin ek teknik açıklamaları MITRE ve NVD sitelerinde mevcut olacaktır.

Bağlılık güncellemeleri

Bağlılık

Güvenlik Açığı Etkisi

Etkilenen Sürümler

Açılı

Prototip Kirliliği

2.4.2, 2.4.1-p1, 2.3.6-p1

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

  • Malerisch (CVE-2021-21012)
  • Niels Pijpers (CVE-2021-21013)
  • Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
  • Kien Hoang (hoangkien1020) (CVE-2021-21014)
  • Bugscale'dan Edgar Boda-Majer (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022) 
  • Kien Hoang (CVE-2021-21020)
  • bobbytabl35_ (CVE-2021-21023)
  • Wohlie (CVE-2021-21024)
  • Peter O'Callaghan (CVE-2021-21025)
  • Kiên Ka Lư (CVE-2021-21026)
  • Lachlan Davidson (CVE-2021-21027)
  • SEC Consult Vulnerability Lab (CVE-2021-21029) ile çalışan Natsasit Jirathammanuwat (Office Thailand).
  • Anas (CVE-2021-21031)

Değişiklikler

09 Şubat 2021: CVE-2021-21014 hakkında güncelleştirilmiş onay detayları.

 Adobe

Daha hızlı ve daha kolay yardım alın

Yeni kullanıcı mısınız?

Adobe MAX 2024

Adobe MAX
Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX

Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX 2024

Adobe MAX
Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi

Adobe MAX

Yaratıcılık Konferansı

14–16 Ekim Miami Beach ve çevrimiçi