Bulletin-ID
Zuletzt aktualisiert am
1. Mai 2021
|
Gilt auch für Digital Editions
Sicherheits-Updates für Magento verfügbar | APSB20-47
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
ASPB20-47 |
28. Juli 2020 |
2 |
Zusammenfassung
Magento hat Updates für Magento Commerce 2 (früher Magento Enterprise Edition) und Magento Open Source 2 (früher Magento Community Edition) veröffentlicht. Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte dazu führen, dass Code beliebig ausgeführt und die Signaturverifizierung umgangen wird.
Betroffene Versionen
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 und frühere Versionen |
Alle |
|
Magento Open Source 2 |
2.3.5-p1 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Versionshinweise |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Alle |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Alle |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alle |
2 |
– |
|
Magento Open Source 2 |
2.3.5-p2 |
Alle |
2 |
– |
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
Sind Administratorrechte erforderlich? |
Magento-Fehler-ID |
CVE-Nummern |
|
|---|---|---|---|---|---|---|
|
Path Traversal |
Willkürliche Ausführung von Code |
Kritisch |
Nein |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Beobachtbare Zeitunterschiede |
Umgehung der Signaturüberprüfung |
Wichtig |
Nein |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
DOM-basiertes Cross-Site-Scripting |
Willkürliche Ausführung von Code |
Wichtig |
Ja |
Nein |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Umgehung der Sicherheitsschwachstellen |
Willkürliche Ausführung von Code |
Kritisch |
Nein |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Hinweis:
Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.
Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Edgar Boda-Majer von Bugscale und Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer von Bugscale (CVE-2020-9692)
