Bulletin-ID
Sicherheits-Updates für Magento verfügbar | APSB20-41
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
ASPB20-41 |
22. Juni 2020 |
2 |
Zusammenfassung
Magento hat Updates für Magento Commerce 1 und Magento Open Source 1 veröffentlicht. Diese Updates schließen Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Die Unterstützung für Magento Commerce 1.14 und Magento Open Source 1 endet im Juni 2020. Dies sind die letzten Sicherheits-Patches, die für diese Versionen verfügbar sind.
Magento Commerce 1 war zuvor als Magento Enterprise Edition bekannt und Magento Open Source 1 als Magento Community Edition.
Betroffene Versionen
Produkt |
Version |
Plattform |
---|---|---|
Magento Commerce 1 |
1.14.4.5 und frühere Versionen |
Alle |
Magento Open Source 1 |
1.9.4.5 und frühere Versionen |
Alle |
Diese Schwachstellen haben keine Auswirkungen auf Magento Commerce oder Magento Open Source.
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt |
Version |
Plattform |
Priorität Bewertung |
Verfügbarkeit |
---|---|---|---|---|
Magento Commerce 1 |
SUPEE-11346 |
Alle |
2 |
Mein Konto > Registerkarte „Downloads“ > Magento Commerce 1.X > Magento Commerce 1.x > Support- und Sicherheits-Patches > Sicherheits-Patches > Sicherheit |
Magento Open Source 1 |
SUPEE-11346 |
Alle |
2 |
Magento Open Source-Downloadseite > Registerkarte „Versionsarchiv“ > Abschnitt „Magento Open Source-Patches 1.x“ |
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
Sind Administratorrechte erforderlich? |
Magento-Fehler-ID |
CVE-Nummern |
|
---|---|---|---|---|---|---|
PHP-Objektinjektion |
Willkürliche Ausführung von Code |
Kritisch |
Nein |
Ja |
PRODSECBUG-2758 |
CVE-2020-9664 |
Beständiges (stored) Cross-Site-Scripting |
Offenlegung vertraulicher Informationen |
Wichtig |
Nein |
Ja |
PRODSECBUG-2759 |
CVE-2020-9665 |
Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.
Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.
Danksagung
Adobe möchte Luke Rodgers für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden danken.