Бюллетень безопасности Adobe

Поиск

Последнее обновление 21 мая 2021 г. | Также применяется к Digital Editions

Обновления системы безопасности для Magento | APSB21-08

Идентификатор бюллетеня	Дата публикации	Приоритет
ASPB21-08	09 февраля 2021 г.	2

Сводка

Компания Magento выпустила обновления для версий Magento Commerce и Magento Open Source.В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические. При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.

Затрагиваемые версии

Продукт	Версия	Платформа
Magento Commerce	2.4.1 и более ранние версии	Все
	2.4.0-p1 и более ранние версии	Все
	2.3.6 и более ранние версии	Все
Magento Open Source	2.4.1 и более ранние версии	Все
	2.4.0-p1 и более ранние версии	Все
	2.3.6 и более ранние версии	Все

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт	Обновленная версия	Платформа	Рейтинг приоритета	Сведения о выпуске
Magento Commerce	2.4.2	Все	2	Заметки о выпуске 2.4.x Заметки о выпуске 2.3.x
	2.4.1-p1	Все	2
	2.3.6-p1	Все	2
Magento Open Source	2.4.2	Все	2
	2.4.1-p1	Все	2
	2.3.6-p1	Все	2

Сведения об уязвимости

Категория уязвимости	Влияние уязвимости	Серьезность	Предварительная проверка подлинности?	Требуются права администратора?	Magento Bug ID	Номера CVE
Небезопасная прямая ссылка на объект	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Нет	PRODSECBUG-2812	CVE-2021-21012
Небезопасная прямая ссылка на объект	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Нет	PRODSECBUG-2815	CVE-2021-21013
Обход списка разрешений при выгрузке файлов	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2820	CVE-2021-21014
Возможность обхода системы безопасности	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2830	CVE-2021-21015
Возможность обхода системы безопасности	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2835	CVE-2021-21016
Вставка команды	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2845	CVE-2021-21018
Добавление XML-кода	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2847	CVE-2021-21019
Обход средств контроля доступа	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Нет	PRODSECBUG-2849	CVE-2021-21020
Небезопасная прямая ссылка на объект	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Да	Нет	PRODSECBUG-2863	CVE-2021-21022
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Важная	Нет	Да	PRODSECBUG-2893	CVE-2021-21023
Слепое внедрение кода SQL	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Да	PRODSECBUG-2896	CVE-2021-21024
Возможность обхода системы безопасности	Выполнение произвольного кода	Критическая	Нет	Да	PRODSECBUG-2900	CVE-2021-21025
Неверная авторизация	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Да	PRODSECBUG-2902	CVE-2021-21026
Подделка межсайтовых запросов	Несанкционированное изменение метаданных заказчиков	Средняя	Нет	Нет	PRODSECBUG-2903	CVE-2021-21027
Межсайтовый скриптинг (отраженный)	Выполнение произвольного сценария JavaScript в браузере	Важная	Да	Нет	PRODSECBUG-2907	CVE-2021-21029
Межсайтовый скриптинг (сохраненный)	Выполнение произвольного сценария JavaScript в браузере	Критическая	Да	Нет	PRODSECBUG-2912	CVE-2021-21030
Отсутствует завершение сеанса пользователя	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Нет	PRODSECBUG-2914	CVE-2021-21031
Отсутствует завершение сеанса пользователя	Несанкционированный доступ к ресурсам с ограниченным доступом	Важная	Нет	Нет	MC-36608	CVE-2021-21032

Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.

Дополнительные технические описания уязвимостей CVE, упоминаемых в этом документе, будут доступны на сайтах MITRE и NVD.

Обновления для зависимостей

Зависимость	Влияние уязвимости	Затронутые версии
Угловые	Засорение прототипов	2.4.2, 2.4.1-p1, 2.3.6-p1

Благодарности

Компания Adobe приносит следующим людям благодарность за сообщение о значимых проблемах и за помощь Adobe в обеспечении защиты наших клиентов:   

Малериш (CVE-2021-21012)
Нильс Пийперс (CVE-2021-21013)
Blaklis (CVE-2021-21014, CVE-2021-21018, CVE-2021-21030)
Kien Hoang (hoangkien1020) (CVE-2021-21014)
Эдгар Бода-Майер, Bugscale (CVE-2021-21015, CVE-2021-21016, CVE-2021-21022)
Киен Хоанг (CVE-2021-21020)
bobbytabl35_ (CVE-2021-21023)
Уоли (CVE-2021-21024)
Питер О'Каллаган (CVE-2021-21025)
Киен Ка Лю (CVE-2021-21026)
Локлан Дэвидсон (CVE-2021-21027)
Натсасит Джиратаммниват (офис в Тайланде), работающий с SEC Consult Vulnerability Lab (CVE-2021-21029)
Анас (CVE-2021-21031)