Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB20-47

Référence du bulletin

Date de publication

Priorité 

ASPB20-47

28 juillet 2020      

2

Récapitulatif

Magento a publié des mises à jour pour Magento Commerce 2 (anciennement Magento Enterprise Edition) et Magento Open Source 2 (anciennement Magento Community Edition).Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques.  Une exploitation réussie pourrait entraîner l’exécution de code arbitraire et favoriser le contournement des vérifications des signatures.





Versions concernées

Produit

Version 

Plate-forme

Magento Commerce 2

2.3.5-p1 et versions antérieures 

Toutes

Magento Open Source 2

2.3.5-p1 et versions antérieures

Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version mise à jour

Plate-forme

Priorité

Notes de mise à jour

Magento Commerce 2

2.4.0

Toutes

2

Magento Open Source 2

2.4.0

Toutes

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Toutes

2

Sans objet

Magento Open Source 2

2.3.5-p2

Toutes

2

Sans objet

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Pré-authentification ?

Droits d’administration requis ?

ID de bogue Magento

Références CVE

Path Traversal

Exécution de code arbitraire

Critique

Non

Oui

PRODSECBUG-2716 

CVE-2020-9689

Écart de temps observable

Contournement des vérifications des signatures

Importante

Non

Oui

PRODSECBUG-2726

CVE-2020-9690

Cross-site scripting (XSS) basé sur le DOM

Exécution de code arbitraire

Importante

Oui

Non

PRODSECBUG-2533 

CVE-2020-9691

Contournement des limitations de sécurité

Exécution de code arbitraire

Critique

Non

Oui

PRODSECBUG-2769 

CVE-2020-9692 

Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Edgar Boda-Majer de Bugscale et Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer de Bugscale (CVE-2020-9692)

Révision

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?