Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB20-59
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB20-59 |
15 oktober 2020 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce en Magento Open Source.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
Product |
Versie |
Platform |
---|---|---|
Magento Commerce |
2.3.5-p1 en eerdere versies |
Alles |
Magento Commerce |
2.3.5-p2 en eerdere versies |
Alles |
Magento Commerce |
2.4.0 en eerdere versies |
Alles |
Magento Open Source |
2.3.5-p1 en eerdere versies |
Alles |
Magento Open Source |
2.3.5-p2 en eerdere versies |
Alles |
Magento Open Source |
2.4.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Releaseopmerkingen |
---|---|---|---|---|
Magento Commerce |
2.4.1 |
Alles |
2 |
|
Magento Open Source |
2.4.1 |
Alles |
2 |
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Alles |
2 |
|
Magento Open Source |
2.3.6 |
Alles |
2 |
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
Beheerdersrechten vereist? |
Magento Bug ID |
CVE-nummers |
|
---|---|---|---|---|---|---|
Omzeilen bestand uploaden voor lijst van gewenste personen |
Uitvoering van willekeurige code |
Kritiek |
Nee |
Ja |
PRODSECBUG-2799 |
CVE-2020-24407 |
SQL-injectie |
Willekeurige lees- of schrijftoegang tot database |
Kritiek |
Nee |
Ja |
PRODSECBUG-2779 |
CVE-2020-24400 |
Onjuiste autorisatie |
Ongeautoriseerde wijziging van klantenlijst |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2789 |
CVE-2020-24402 |
Onvoldoende ongeldigverklaring van gebruikerssessie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2785 |
CVE-2020-24401 |
Onjuiste autorisatie |
Ongeautoriseerde wijziging van Magento CMS-pagina's |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2796 |
CVE-2020-24404 |
Openbaarmaking van gevoelige informatie |
Openbaarmaking van pad documentoorsprong |
Gemiddeld |
Nee |
Ja |
PRODSECBUG-2798 |
CVE-2020-24406 |
Cross-site scripting (opgeslagen XXS) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
Ja |
Nee |
PRODSECBUG-2804 |
CVE-2020-24408 |
Onjuiste autorisatie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2797 |
CVE-2020-24405 |
Onjuiste autorisatie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2791 |
CVE-2020-24403 |
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.
Updates voor afhankelijkheden
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
---|---|---|
jQuery-bestand uploaden |
Uitvoering van willekeurige code |
2.4.0 en eerdere versies |
TinyMCE |
Willekeurige JavaScript-uitvoering |
2.4.0 en eerdere versies |
Dankbetuigingen
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:
- Edgar Boda-Majer van Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)