Bulletin-id
Laatst bijgewerkt op
13 feb. 2023
|
Ook van toepassing op Digital Editions
Beveiligingsupdates beschikbaar voor Magento | APSB20-47
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
ASPB20-47 |
28 juli 2020 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce 2 (heette eerder Magento Enterprise Edition) en Magento Open Source 2 (heette eerder Magento Community Edition).Deze updates verhelpen belangrijke en kritieke kwetsbaarheden.Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code en omzeiling van de verificatie met handtekening.
Van toepassing op de volgende versies
|
Product |
Versie |
Platform |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 en eerdere versies |
Alles |
|
Magento Open Source 2 |
2.3.5-p1 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
|
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Releaseopmerkingen |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Alles |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Alles |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alles |
2 |
Nvt |
|
Magento Open Source 2 |
2.3.5-p2 |
Alles |
2 |
Nvt |
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
Beheerdersrechten vereist? |
Magento Bug ID |
CVE-nummers |
|
|---|---|---|---|---|---|---|
|
Path traversal |
Willekeurige code-uitvoering |
Kritiek |
Nee |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Observeerbaar timingverschil |
Omzeiling van de verificatie met handtekening |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
DOM-gebaseerde scripts die verwijzen naar andere sites |
Uitvoering van willekeurige code |
Belangrijk |
Ja |
Nee |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Omzeiling van beveiligingsbeperking |
Uitvoering van willekeurige code |
Kritiek |
Nee |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Opmerking:
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:
- Edgar Boda-Majer van Bugscale and Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer van Bugscale (CVE-2020-9692)
