Bulletin-ID
Sicherheits-Updates für Magento verfügbar | APSB20-59
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB20-59 |
15. Oktober 2020 |
2 |
Zusammenfassung
Betroffene Versionen
Produkt |
Version |
Plattform |
---|---|---|
Magento Commerce |
2.3.5-p1 und frühere Versionen |
Alle |
Magento Commerce |
2.3.5-p2 und frühere Versionen |
Alle |
Magento Commerce |
2.4.0 und frühere Versionen |
Alle |
Magento Open Source |
2.3.5-p1 und frühere Versionen |
Alle |
Magento Open Source |
2.3.5-p2 und frühere Versionen |
Alle |
Magento Open Source |
2.4.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Versionshinweise |
---|---|---|---|---|
Magento Commerce |
2.4.1 |
Alle |
2 |
|
Magento Open Source |
2.4.1 |
Alle |
2 |
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Alle |
2 |
|
Magento Open Source |
2.3.6 |
Alle |
2 |
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
Sind Administratorrechte erforderlich? |
Magento-Fehler-ID |
CVE-Nummern |
|
---|---|---|---|---|---|---|
Umgehung der Dateiuploads-Zulassungsliste |
Willkürliche Ausführung von Code |
Kritisch |
Nein |
Ja |
PRODSECBUG-2799 |
CVE-2020-24407 |
SQL-Injektion |
Willkürlicher Lese- oder Schreibzugriff auf die Datenbank |
Kritisch |
Nein |
Ja |
PRODSECBUG-2779 |
CVE-2020-24400 |
Unzulässige Autorisierung |
Unberechtigte Änderung der Kundenliste |
Wichtig |
Nein |
Ja |
PRODSECBUG-2789 |
CVE-2020-24402 |
Unzureichende Aufhebung der Benutzersitzung |
Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen |
Wichtig |
Nein |
Ja |
PRODSECBUG-2785 |
CVE-2020-24401 |
Unzulässige Autorisierung |
Unberechtigte Änderung von Magento CMS-Seiten |
Wichtig |
Nein |
Ja |
PRODSECBUG-2796 |
CVE-2020-24404 |
Offenlegung vertraulicher Informationen |
Anzeigen des Dokumentstammpfads |
Mittel |
Nein |
Ja |
PRODSECBUG-2798 |
CVE-2020-24406 |
Cross-Site-Scripting (beständiges XSS) |
Willkürliche JavaScript-Ausführung im Browser |
Wichtig |
Ja |
Nein |
PRODSECBUG-2804 |
CVE-2020-24408 |
Unzulässige Autorisierung |
Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen |
Wichtig |
Nein |
Ja |
PRODSECBUG-2797 |
CVE-2020-24405 |
Unzulässige Autorisierung |
Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen |
Wichtig |
Nein |
Ja |
PRODSECBUG-2791 |
CVE-2020-24403 |
Vorauthentifizierung: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.
Administratorrechte erforderlich: Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.
Zusätzliche technische Beschreibungen der in diesem Dokument genannten CVEs werden auf den MITRE- und NVD-Webseiten bereitgestellt.
Updates für Abhängigkeiten
Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
---|---|---|
jQuery Dateiupload |
Willkürliche Ausführung von Code |
2.4.0 und frühere Versionen |
TinyMCE |
Willkürliche JavaScript-Ausführung |
2.4.0 und frühere Versionen |
Danksagung
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:
- Edgar Boda-Majer von Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)