Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Magento | APSB20-59

Bulletin-id

Publicatiedatum

Prioriteit

APSB20-59

15 oktober 2020      

2

Samenvatting

Magento heeft updates uitgebracht voor Magento Commerce en Magento Open Source.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product

Versie

Platform

Magento Commerce 

2.3.5-p1 en eerdere versies

Alles

Magento Commerce 

2.3.5-p2 en eerdere versies  

Alles

Magento Commerce 

2.4.0 en eerdere versies 

Alles

Magento Open Source 

2.3.5-p1 en eerdere versies

Alles

Magento Open Source 

2.3.5-p2 en eerdere versies

Alles

Magento Open Source 

2.4.0 en eerdere versies 

Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product

Bijgewerkte versie

Platform

Prioriteitsbeoordeling

Releaseopmerkingen

Magento Commerce 

2.4.1

Alles

2

Magento Open Source 

2.4.1

Alles

2

 

 

 

 

 

Magento Commerce 

2.3.6

Alles

2

Magento Open Source 

2.3.6

Alles

2

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

Verificatie vooraf?

Beheerdersrechten vereist?

Magento Bug ID

CVE-nummers

Omzeilen bestand uploaden voor lijst van gewenste personen

Uitvoering van willekeurige code 

Kritiek 

Nee

Ja

PRODSECBUG-2799

CVE-2020-24407

SQL-injectie

Willekeurige lees- of schrijftoegang tot database

Kritiek 

Nee

Ja

PRODSECBUG-2779

CVE-2020-24400

Onjuiste autorisatie

Ongeautoriseerde wijziging van klantenlijst

Belangrijk

Nee

Ja

PRODSECBUG-2789

CVE-2020-24402

Onvoldoende ongeldigverklaring van gebruikerssessie

Ongeautoriseerde toegang tot beperkte bronnen

Belangrijk

Nee

Ja

PRODSECBUG-2785

CVE-2020-24401

Onjuiste autorisatie

Ongeautoriseerde wijziging van Magento CMS-pagina's

Belangrijk

Nee

Ja

PRODSECBUG-2796

CVE-2020-24404

Openbaarmaking van gevoelige informatie

Openbaarmaking van pad documentoorsprong

Gemiddeld

Nee

Ja

PRODSECBUG-2798

CVE-2020-24406

Cross-site scripting (opgeslagen XXS)

Arbitraire uitvoering van JavaScript in de browser

Belangrijk

Ja

Nee

PRODSECBUG-2804

CVE-2020-24408

Onjuiste autorisatie

Ongeautoriseerde toegang tot beperkte bronnen

Belangrijk

Nee

Ja

PRODSECBUG-2797

CVE-2020-24405

Onjuiste autorisatie

Ongeautoriseerde toegang tot beperkte bronnen

Belangrijk

Nee

Ja

PRODSECBUG-2791

CVE-2020-24403

Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.

Updates voor afhankelijkheden

Afhankelijkheid

Impact van kwetsbaarheid

Van toepassing op de volgende versies

jQuery-bestand uploaden

Uitvoering van willekeurige code 

2.4.0 en eerdere versies 

TinyMCE

Willekeurige JavaScript-uitvoering

2.4.0 en eerdere versies 

Dankbetuigingen

Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:   

  • Edgar Boda-Majer van Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online