Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Magento | APSB20-47

ID do boletim

Data de publicação

Prioridade

ASPB20-47

28 de julho de 2020      

2

Resumo

O Magento lançou atualizações para o Magento Commerce 2 (conhecido anteriormente como Magento Enterprise Edition) e para o Magento Open Source 2 (conhecido anteriormente como Magento Community Edition). Essas atualizações resolvem vulnerabilidades de classificação Importante e Crítica.  A exploração bem-sucedida pode levar à execução de código arbitrário e ao desvio da verificação de assinatura.





Versões afetadas

Produto

Versão

Plataforma

Magento Commerce 2

2.3.5-p1 e versões anteriores 

Todos

Magento Open Source 2

2.3.5-p1 e versões anteriores

Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.

Produto

Versão atualizada

Plataforma

Classificação de prioridade

Notas de versão

Magento Commerce 2

2.4.0

Todos

2

Magento Open Source 2

2.4.0

Todos

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Todos

2

N/D

Magento Open Source 2

2.3.5-p2

Todos

2

N/D

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pré-autenticação?

Privilégios de administrador necessários?

ID de Bug do Magento

Números CVE

Travessia de caminho

Execução de código arbitrária

Crítico

Não

Sim

PRODSECBUG-2716 

CVE-2020-9689

Discrepância de tempo observável

Desvio da verificação de assinatura

Importante

Não

Sim

PRODSECBUG-2726

CVE-2020-9690

Cross-site scripting baseado em DOM

Execução de código arbitrária

Importante

Sim

Não

PRODSECBUG-2533 

CVE-2020-9691

Desvio de mitigação de segurança 

Execução de código arbitrária

Crítico

Não

Sim

PRODSECBUG-2769 

CVE-2020-9692 

Observação:

Pré-autenticação: a vulnerabilidade é explorável sem credenciais.   

Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.  

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas por relatar os problemas relevantes e por trabalhar com a Adobe para ajudar a proteger os nossos clientes:   

  • Edgar Boda – Diretor da Bugscale e Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda – Diretor da Bugscale (CVE-2020-9692)

Revisões

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online