Référence du bulletin
Mises à jour de sécurité disponibles pour Magento | APSB20-02
|
Date de publication |
Priorité |
---|---|---|
APSB20-02 |
28 janvier 2020 |
2 |
Récapitulatif
Magento a publié des mises à jour pour les éditions Magento Commerce et Open Source. Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.
Versions concernées
Produit |
Version |
Plateforme |
---|---|---|
Magento Commerce |
2.3.3 et versions antérieures |
Toutes |
Magento Open Source |
2.3.3 et versions antérieures |
Toutes |
Magento Commerce |
2.2.10 et versions antérieures |
Toutes |
Magento Open Source |
2.2.10 et versions antérieures |
Toutes |
Magento Enterprise Edition |
1.14.4.3 et versions antérieures |
Toutes |
Magento Community Edition |
1.9.4.3 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
Produit |
Version |
Plate-forme |
Priorité |
Disponibilité |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Toutes |
2 |
|
Magento Open Source |
2.3.4 |
Toutes |
2 |
|
Magento Commerce |
2.2.11 |
Toutes |
2 |
|
Magento Open Source |
2.2.11 |
Toutes |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Toutes |
2 |
|
Magento Community Edition |
1.9.4.4 |
Toutes |
2 |
Détails concernant la vulnérabilité
Catégorie de la vulnérabilité |
Impact de la vulnérabilité |
Gravité |
ID de bogue Magento |
Références CVE |
---|---|---|---|---|
Cross-site scripting (XSS) par stockage |
Divulgation d’informations confidentielles |
Importante |
PRODSECBUG-2543 |
CVE-2020-3715 |
Cross-site scripting (XSS) par stockage |
Divulgation d’informations confidentielles |
Important |
PRODSECBUG-2599 |
CVE-2020-3758 |
Désérialisation de données non approuvées |
Exécution de code arbitraire |
Critique |
PRODSECBUG-2579 |
CVE-2020-3716 |
Path traversal |
Divulgation d’informations confidentielles |
Important |
PRODSECBUG-2632 |
CVE-2020-3717 |
Contournement de sécurité |
Exécution de code arbitraire |
Critique |
PRODSECBUG-2633 |
CVE-2020-3718 |
Injection SQL |
Divulgation d’informations confidentielles |
Critique |
PRODSECBUG-2660 |
CVE-2020-3719 |
Remerciements
Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?