ID do boletim
Atualizações de segurança disponíveis para o Magento | APSB20-47
|
Data de publicação |
Prioridade |
---|---|---|
ASPB20-47 |
28 de julho de 2020 |
2 |
Resumo
O Magento lançou atualizações para o Magento Commerce 2 (conhecido anteriormente como Magento Enterprise Edition) e para o Magento Open Source 2 (conhecido anteriormente como Magento Community Edition). Essas atualizações resolvem vulnerabilidades de classificação Importante e Crítica. A exploração bem-sucedida pode levar à execução de código arbitrário e ao desvio da verificação de assinatura.
Versões afetadas
Produto |
Versão |
Plataforma |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 e versões anteriores |
Todos |
Magento Open Source 2 |
2.3.5-p1 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Produto |
Versão atualizada |
Plataforma |
Classificação de prioridade |
Notas de versão |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Todos |
2 |
|
Magento Open Source 2 |
2.4.0 |
Todos |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Todos |
2 |
N/D |
Magento Open Source 2 |
2.3.5-p2 |
Todos |
2 |
N/D |
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Privilégios de administrador necessários? |
ID de Bug do Magento |
Números CVE |
|
---|---|---|---|---|---|---|
Travessia de caminho |
Execução de código arbitrária |
Crítico |
Não |
Sim |
PRODSECBUG-2716 |
CVE-2020-9689 |
Discrepância de tempo observável |
Desvio da verificação de assinatura |
Importante |
Não |
Sim |
PRODSECBUG-2726 |
CVE-2020-9690 |
Cross-site scripting baseado em DOM |
Execução de código arbitrária |
Importante |
Sim |
Não |
PRODSECBUG-2533 |
CVE-2020-9691 |
Desvio de mitigação de segurança |
Execução de código arbitrária |
Crítico |
Não |
Sim |
PRODSECBUG-2769 |
CVE-2020-9692 |
Pré-autenticação: a vulnerabilidade é explorável sem credenciais.
Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:
- Edgar Boda – Diretor da Bugscale e Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda – Diretor da Bugscale (CVE-2020-9692)