Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Magento | APSB20-47

Bulletin-id

Publicatiedatum

Prioriteit

ASPB20-47

28 juli 2020      

2

Samenvatting

Magento heeft updates uitgebracht voor Magento Commerce 2 (heette eerder Magento Enterprise Edition) en Magento Open Source 2 (heette eerder Magento Community Edition).Deze updates verhelpen belangrijke en kritieke kwetsbaarheden.Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code en omzeiling van de verificatie met handtekening.





Van toepassing op de volgende versies

Product

Versie

Platform

Magento Commerce 2

2.3.5-p1 en eerdere versies 

Alles

Magento Open Source 2

2.3.5-p1 en eerdere versies

Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product

Bijgewerkte versie

Platform

Prioriteitsbeoordeling

Releaseopmerkingen

Magento Commerce 2

2.4.0

Alles

2

Magento Open Source 2

2.4.0

Alles

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Alles

2

Nvt

Magento Open Source 2

2.3.5-p2

Alles

2

Nvt

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

Verificatie vooraf?

Beheerdersrechten vereist?

Magento Bug ID

CVE-nummers

Path traversal

Willekeurige code-uitvoering

Kritiek

Nee

Ja

PRODSECBUG-2716 

CVE-2020-9689

Observeerbaar timingverschil

Omzeiling van de verificatie met handtekening

Belangrijk

Nee

Ja

PRODSECBUG-2726

CVE-2020-9690

DOM-gebaseerde scripts die verwijzen naar andere sites

Uitvoering van willekeurige code

Belangrijk

Ja

Nee

PRODSECBUG-2533 

CVE-2020-9691

Omzeiling van beveiligingsbeperking 

Uitvoering van willekeurige code

Kritiek

Nee

Ja

PRODSECBUG-2769 

CVE-2020-9692 

Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Edgar Boda-Majer van Bugscale and Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer van Bugscale (CVE-2020-9692)

Revisies

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online