ID bollettino
Ultimo aggiornamento il
3 mag 2021
|
Si applica anche a Digital Editions
Aggiornamenti di sicurezza disponibili per Magento | APSB20-47
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
ASPB20-47 |
28 luglio 2020 |
2 |
Riepilogo
Magento ha rilasciato aggiornamenti per Magento Commerce 2 (precedentemente noto come Magento Enterprise Edition) e il Magento Open Source 2 (precedentemente noto come Magento Community Edition). Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche . Uno sfruttamento riuscito potrebbe portare all'esecuzione arbitraria del codice e all'aggiramento della verifica della firma.
Versioni interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 e versioni precedenti |
Tutte |
|
Magento Open Source 2 |
2.3.5-p1 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
|
Prodotto |
Versione aggiornata |
Piattaforma |
Livello di priorità |
Note sul rilascio |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Tutte |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Tutte |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Tutte |
2 |
N/D |
|
Magento Open Source 2 |
2.3.5-p2 |
Tutte |
2 |
N/D |
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Sono necessari i privilegi di amministratore? |
Magento Bug ID |
Codici CVE |
|
|---|---|---|---|---|---|---|
|
Path traversal |
Esecuzione di codice arbitrario |
Critica |
No |
Sì |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Discrepanza tempo osservabile |
Ignora verifica firma |
Importante |
No |
Sì |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
Cross-site scripting basato su DOM |
Esecuzione di codice arbitrario |
Importante |
Sì |
No |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Aggiramento di un'attenuazione della sicurezza |
Esecuzione di codice arbitrario |
Critica |
No |
Sì |
PRODSECBUG-2769 |
CVE-2020-9692 |
Nota:
Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.
Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.
Ringraziamenti
Adobe desidera ringraziare le persone indicate di seguito per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Edgar Boda-Majer di Bugscale e Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer di Bugscale (CVE-2020-9692)
