ID bollettino
Ultimo aggiornamento il
3 mag 2021
|
Si applica anche a Digital Editions
Aggiornamenti di sicurezza disponibili per Magento | APSB20-02
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB20-02 |
28 gennaio 2020 |
2 |
Riepilogo
Magento ha rilasciato aggiornamenti per le edizioni Magento Commerce e Open Source. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Versioni interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Magento Commerce |
2.3.3 e versioni precedenti |
Tutte |
|
Magento Open Source |
2.3.3 e versioni precedenti |
Tutte |
|
Magento Commerce |
2.2.10 e versioni precedenti |
Tutte |
|
Magento Open Source |
2.2.10 e versioni precedenti |
Tutte |
|
Magento Enterprise Edition |
1.14.4.3 e versioni precedenti |
Tutte |
|
Magento Community Edition |
1.9.4.3 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
|
Prodotto |
Versione |
Piattaforma |
Priorità Classificazione |
Disponibilità |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Tutte |
2 |
|
|
Magento Open Source |
2.3.4 |
Tutte |
2 |
|
|
Magento Commerce |
2.2.11 |
Tutte |
2 |
|
|
Magento Open Source |
2.2.11 |
Tutte |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Tutte |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Tutte |
2 |
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Magento Bug ID |
Codici CVE |
|---|---|---|---|---|
|
Scripting memorizzato tra siti |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Scripting memorizzato tra siti |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserializzazione di dati non affidabili |
Esecuzione di codice arbitrario |
Critica |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Path traversal |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Aggiramento della protezione |
Esecuzione di codice arbitrario |
Critica |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
Iniezione SQL |
Divulgazione di informazioni riservate |
Critica |
PRODSECBUG-2660 |
CVE-2020-3719 |
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
