Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Magento| APSB20-02

ID do boletim

Data de publicação

Prioridade

APSB20-02

 28 de janeiro de 2020

2

Resumo

O Magento lançou atualizações para as edições Magento Commerce e Open Source.  Essas atualizações resolvem vulnerabilidades críticas e importantes.  A exploração bem-sucedida poderia levar a uma execução de código arbitrária.    

Versões afetadas

Produto

Versão

Plataforma

Magento Commerce 

2.3.3 e versões anteriores    

Todos

Magento Open Source   

2.3.3 e versões anteriores    

Todos

Magento Commerce 

2.2.10 e versões anteriores    

Todos

Magento Open Source  

2.2.10 e versões anteriores    

Todos

Magento Enterprise Edition    

1.14.4.3 e versões anteriores    

Todos

Magento Community Edition   

1.9.4.3 e versões anteriores    

Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto

Versão

Plataforma

Classificação de prioridade

Disponibilidade

Magento Commerce    

2.3.4

Todos

2

Magento Open Source    

2.3.4

Todos

2

Magento Commerce    

2.2.11

Todos

2

Magento Open Source    

2.2.11

Todos

2

Magento Enterprise Edition    

1.14.4.4

Todos

2

Magento Community Edition    

1.9.4.4

Todos

2

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

ID de Bug do Magento    

Números CVE

Script armazenado entre sites    

Divulgação de informações confidenciais    

Importante

PRODSECBUG-2543    

CVE-2020-3715    

Script armazenado entre sites    

Divulgação de informações confidenciais    

Importante    

PRODSECBUG-2599

CVE-2020-3758

Cancelamento de serialização de dados não confiáveis    

Execução de código arbitrária    

Crítico    

PRODSECBUG-2579

CVE-2020-3716

Travessia de caminho    

Divulgação de informações confidenciais    

Importante    

PRODSECBUG-2632

CVE-2020-3717

Bypass de segurança    

Execução de código arbitrária    

Crítico    

PRODSECBUG-2633

CVE-2020-3718

Injeção SQL    

Divulgação de informações confidenciais    

Crítico    

PRODSECBUG-2660

CVE-2020-3719

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:   

·       Ernesto Martin (CVE-2020-3715)

·       Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)

·       Luke Rodgers (CVE-2020-3719)

·       Djordje Marjanovic (CVE-2020-3758)

Logotipo da Adobe

Fazer logon em sua conta