ID do boletim
Última atualização em
4 de mai de 2021
|
Também é aplicável a Digital Editions
Atualizações de segurança disponíveis para o Magento| APSB20-02
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB20-02 |
28 de janeiro de 2020 |
2 |
Resumo
O Magento lançou atualizações para as edições Magento Commerce e Open Source. Essas atualizações resolvem vulnerabilidades críticas e importantes. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.
Versões afetadas
|
Produto |
Versão |
Plataforma |
|---|---|---|
|
Magento Commerce |
2.3.3 e versões anteriores |
Todos |
|
Magento Open Source |
2.3.3 e versões anteriores |
Todos |
|
Magento Commerce |
2.2.10 e versões anteriores |
Todos |
|
Magento Open Source |
2.2.10 e versões anteriores |
Todos |
|
Magento Enterprise Edition |
1.14.4.3 e versões anteriores |
Todos |
|
Magento Community Edition |
1.9.4.3 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
|
Produto |
Versão |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Todos |
2 |
|
|
Magento Open Source |
2.3.4 |
Todos |
2 |
|
|
Magento Commerce |
2.2.11 |
Todos |
2 |
|
|
Magento Open Source |
2.2.11 |
Todos |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Todos |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Todos |
2 |
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
ID de Bug do Magento |
Números CVE |
|---|---|---|---|---|
|
Script armazenado entre sites |
Divulgação de informações confidenciais |
Importante |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Script armazenado entre sites |
Divulgação de informações confidenciais |
Importante |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Cancelamento de serialização de dados não confiáveis |
Execução de código arbitrária |
Crítico |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Travessia de caminho |
Divulgação de informações confidenciais |
Importante |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Bypass de segurança |
Execução de código arbitrária |
Crítico |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
Injeção SQL |
Divulgação de informações confidenciais |
Crítico |
PRODSECBUG-2660 |
CVE-2020-3719 |
Agradecimentos
A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
