Référence du bulletin
Mises à jour de sécurité disponibles pour Magento | APSB20-47
|
Date de publication |
Priorité |
---|---|---|
ASPB20-47 |
28 juillet 2020 |
2 |
Récapitulatif
Magento a publié des mises à jour pour Magento Commerce 2 (anciennement Magento Enterprise Edition) et Magento Open Source 2 (anciennement Magento Community Edition).Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. Une exploitation réussie pourrait entraîner l’exécution de code arbitraire et favoriser le contournement des vérifications des signatures.
Versions concernées
Produit |
Version |
Plate-forme |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 et versions antérieures |
Toutes |
Magento Open Source 2 |
2.3.5-p1 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version mise à jour |
Plate-forme |
Priorité |
Notes de mise à jour |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Toutes |
2 |
|
Magento Open Source 2 |
2.4.0 |
Toutes |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Toutes |
2 |
Sans objet |
Magento Open Source 2 |
2.3.5-p2 |
Toutes |
2 |
Sans objet |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
Droits d’administration requis ? |
ID de bogue Magento |
Références CVE |
|
---|---|---|---|---|---|---|
Path Traversal |
Exécution de code arbitraire |
Critique |
Non |
Oui |
PRODSECBUG-2716 |
CVE-2020-9689 |
Écart de temps observable |
Contournement des vérifications des signatures |
Importante |
Non |
Oui |
PRODSECBUG-2726 |
CVE-2020-9690 |
Cross-site scripting (XSS) basé sur le DOM |
Exécution de code arbitraire |
Importante |
Oui |
Non |
PRODSECBUG-2533 |
CVE-2020-9691 |
Contournement des limitations de sécurité |
Exécution de code arbitraire |
Critique |
Non |
Oui |
PRODSECBUG-2769 |
CVE-2020-9692 |
Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.
Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.
Remerciements
Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :
- Edgar Boda-Majer de Bugscale et Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer de Bugscale (CVE-2020-9692)
Révision
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?