Adobe-Sicherheitsbulletin

Sicherheits-Updates für Magento verfügbar | APSB20-22

Bulletin-ID

Veröffentlichungsdatum

Priorität

ASPB20-22

28. April 2020      

2

Zusammenfassung

Magento hat Updates für Magento Commerce- und Open Source-Editionen veröffentlicht.  Diese Updates schließen Sicherheitslücken, die als „Kritisch“, „Wichtig“ und „Moderat“ eingestuft wurden (Einstufung der Sicherheitsrisiken).  Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.    

Betroffene Versionen

Produkt

Version

Plattform

Magento Commerce 

2.3.4 und früher    

Alle

Magento Open Source   

2.3.4 und frühere Versionen    

Alle

Magento Commerce 

2.2.11 und frühere Versionen (siehe Hinweis)

Alle

Magento Open Source  

2.2.11 und frühere Versionen (siehe Hinweis)

Alle

Magento Enterprise Edition    

1.14.4.4 und frühere Versionen    

Alle

Magento Community Edition  

1.9.4.4 und frühere Versionen

Alle

Hinweis:

Die Unterstützung für Magento 2.2x wurde am 31. Dezember 2019 eingestellt.

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt

Version

Plattform

Priorität Bewertung

Verfügbarkeit

Magento Commerce    

2.3.4-p2

Alle

2

Magento Open Source    

2.3.4-p2

Alle

2

Magento Commerce    

2.3.5-p1

Alle

2

Magento Open Source    

2.3.5-p1

Alle

2

Magento Enterprise Edition    

1.14.4.5

Alle

2

Magento Community Edition    

1.9.4.5

Alle

2

Hinweis:

Magento Commerce 2.2.12 ist ausschließlich für Kunden des erweiterten Commerce-Supports verfügbar.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Vorauthentifizierung? Sind Administratorrechte erforderlich?

Magento-Fehler-ID CVE-Nummern
Befehlseinschleusung



Willkürliche Ausführung von Code



Kritisch



Nein Ja PRODSECBUG-2707



CVE-2020-9576



Beständiges (stored) Cross-Site-Scripting    



Offenlegung vertraulicher Informationen    



Wichtig Ja



Nein PRODSECBUG-2671



CVE-2020-9577 



Befehlseinschleusung



Willkürliche Ausführung von Code



Kritisch 



Nein Ja PRODSECBUG-2695



CVE-2020-9578  



Umgehung zur Schwächung der Sicherheit



Willkürliche Ausführung von Code



Kritisch



Nein



Ja



PRODSECBUG-2696



CVE-2020-9579
Umgehung zur Schwächung der Sicherheit



Willkürliche Ausführung von Code Kritisch



Nein



Ja



PRODSECBUG-2697



CVE-2020-9580
Beständiges (stored) Cross-Site-Scripting



Offenlegung vertraulicher Informationen



Wichtig



Nein



Ja



PRODSECBUG-2700



CVE-2020-9581
Befehlseinschleusung



Willkürliche Ausführung von Code



Kritisch



Nein



Ja



PRODSECBUG-2708



CVE-2020-9582
Befehlseinschleusung



Willkürliche Ausführung von Code



Kritisch



Nein



Ja



PRODSECBUG-2710



CVE-2020-9583
Beständiges (stored) Cross-Site-Scripting



Offenlegung vertraulicher Informationen



Wichtig



Ja



Nein



PRODSECBUG-2715



CVE-2020-9584
Tiefgreifende Schwächung der Abwehrsicherheit



Willkürliche Ausführung von Code



Mittel



Nein



Ja



PRODSECBUG-2541



CVE-2020-9585
Tiefgreifende Schwächung der Abwehrsicherheit



Unberechtigter Zugriff auf das Admin-Panel



Mittel



Ja Ja



MPERF-10898



CVE-2020-9591



Umgehung der Autorisierung



Potenziell nicht autorisierte Produktrabatte



Mittel



Ja



Nein



PRODSECBUG-2518



CVE-2020-9587



Beobachtbare Zeitunterschiede Umgehung der Signaturüberprüfung



Wichtig



Nein



Ja



PRODSECBUG-2677



CVE-2020-9588
Fehler bei der Geschäftslogik Berechtigungsausweitung Wichtig Nein Ja PRODSECBUG-2722 CVE-2020-9630
Umgehung zur Schwächung der Sicherheit Willkürliche Ausführung von Code Kritisch Nein Ja PRODSECBUG-2703 CVE-2020-9631
Umgehung zur Schwächung der Sicherheit Willkürliche Ausführung von Code Kritisch Nein Ja PRODSECBUG-2704 CVE-2020-9632
Hinweis:

1.     CVE-2020-9585 wird bei Standardinstallationen abgeschwächt

2.     CVE-2020-9591 wirkt sich ausschließlich auf Magento 1 aus

Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Historie

4. Mai 2020: Danksagung für CVE-2020-9586 wurde entfernt.

7. Mai 2020: CVE-2020-9630 wurde hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurde. 

12. Mai 2020: CVE-2020-9631 und CVE-2020-9632 wurden hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurden. 

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?