Référence du bulletin
Mises à jour de sécurité disponibles pour Magento | APSB20-22
|
Date de publication |
Priorité |
---|---|---|
ASPB20-22 |
28 avril 2020 |
2 |
Récapitulatif
Magento a publié des mises à jour pour les éditions Magento Commerce et Open Source. Ces mises à jour corrigent des vulnérabilités jugées critiques, importantes et modérées (niveaux de gravité). L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.
Versions concernées
Produit |
Version |
Plate-forme |
---|---|---|
Magento Commerce |
2.3.4 et versions précédentes |
Toutes |
Magento Open Source |
2.3.4 et versions antérieures |
Toutes |
Magento Commerce |
2.2.11 et versions antérieures (voir remarque) |
Toutes |
Magento Open Source |
2.2.11 et versions antérieures (voir remarque) |
Toutes |
Magento Enterprise Edition |
1.14.4.4 et versions antérieures |
Toutes |
Magento Community Edition |
1.9.4.4 et versions antérieures |
Toutes |
Magento 2.2x n’est plus pris en charge depuis le 31 décembre 2019.
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Toutes |
2 |
|
Magento Open Source |
2.3.4-p2 |
Toutes |
2 |
|
Magento Commerce |
2.3.5-p1 |
Toutes |
2 |
|
Magento Open Source |
2.3.5-p1 |
Toutes |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Toutes |
2 |
|
Magento Community Edition |
1.9.4.5 |
Toutes |
2 |
Magento Commerce 2.2.12 est disponible exclusivement pour les clients Commerce avec support étendu.
Détails concernant la vulnérabilité
1. CVE-2020-9585 est limitée dans les installations par défaut
2. CVE-2020-9591 affecte exclusivement Magento 1
Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.
Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.
Remerciements
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Révisions
4 mai 2020 : suppression d’un remerciement associé à la référence CVE-2020-9586.
7 mai 2020 : ajout de la référence CVE-2020-9630, qui a été omise par inadvertance dans la version d’origine.
12 mai 2020 : ajout des références CVE-2020-9631 et CVE-2020-9632, qui ont été omises par inadvertance dans la version d’origine.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?