Bulletin-ID
Zuletzt aktualisiert am
1. Mai 2021
|
Gilt auch für Digital Editions
Sicherheits-Updates für Magento verfügbar | APSB20-02
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB20-02 |
28. Januar 2020 |
2 |
Zusammenfassung
Magento hat Updates für Magento Commerce- und Open Source-Editionen veröffentlicht. Diese Updates beheben kritische und wichtige Schwachstellen. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.
Betroffene Versionen
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Magento Commerce |
2.3.3 und frühere Versionen |
Alle |
|
Magento Open Source |
2.3.3 und frühere Versionen |
Alle |
|
Magento Commerce |
2.2.10 und frühere Versionen |
Alle |
|
Magento Open Source |
2.2.10 und frühere Versionen |
Alle |
|
Magento Enterprise Edition |
1.14.4.3 und frühere Versionen |
Alle |
|
Magento Community Edition |
1.9.4.3 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
|
Produkt |
Version |
Plattform |
Priorität Bewertung |
Verfügbarkeit |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Alle |
2 |
|
|
Magento Open Source |
2.3.4 |
Alle |
2 |
|
|
Magento Commerce |
2.2.11 |
Alle |
2 |
|
|
Magento Open Source |
2.2.11 |
Alle |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Alle |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Alle |
2 |
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
Magento-Fehler-ID |
CVE-Nummern |
|---|---|---|---|---|
|
Beständiges (stored) Cross-Site-Scripting |
Offenlegung vertraulicher Informationen |
Wichtig |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Beständiges (stored) Cross-Site-Scripting |
Offenlegung vertraulicher Informationen |
Wichtig |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserialisierung nicht vertrauenswürdiger Daten |
Willkürliche Ausführung von Code |
Kritisch |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Path Traversal |
Offenlegung vertraulicher Informationen |
Wichtig |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Sicherheitsbypass |
Willkürliche Ausführung von Code |
Kritisch |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
SQL-Injektion |
Offenlegung vertraulicher Informationen |
Kritisch |
PRODSECBUG-2660 |
CVE-2020-3719 |
Danksagung
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
