Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Magento | APSB20-59

ID bollettino

Data di pubblicazione

Priorità

APSB20-59

15 ottobre 2020      

2

Riepilogo

Sono stati rilasciati aggiornamenti per Magento Commerce e Magento Open Source. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.    

Versioni interessate

Prodotto

Versione

Piattaforma

Magento Commerce 

2.3.5-p1 e versioni precedenti  

Tutte

Magento Commerce 

2.3.5-p2 e versioni precedenti  

Tutte

Magento Commerce 

2.4.0 e versioni precedenti 

Tutte

Magento Open Source 

2.3.5-p1 e versioni precedenti

Tutte

Magento Open Source 

2.3.5-p2 e versioni precedenti

Tutte

Magento Open Source 

2.4.0 e versioni precedenti 

Tutte

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto

Versione aggiornata

Piattaforma

Livello di priorità

Note sul rilascio

Magento Commerce 

2.4.1

Tutte

2

Magento Open Source 

2.4.1

Tutte

2

 

 

 

 

 

Magento Commerce 

2.3.6

Tutte

2

Magento Open Source 

2.3.6

Tutte

2

Dettagli della vulnerabilità

Categoria della vulnerabilità

Impatto della vulnerabilità

Gravità

Pre-autenticazione?

Sono necessari i privilegi di amministratore?

Magento Bug ID

Codici CVE

Ignora elenco caricamento file consentiti

Esecuzione di codice arbitrario 

Critica 

No


PRODSECBUG-2799

CVE-2020-24407

Iniezione SQL

Accesso in lettura o scrittura arbitrario al database

Critica 

No


PRODSECBUG-2779

CVE-2020-24400

Autorizzazione impropria

Modifica non autorizzata dell'elenco dei clienti

Importante

No


PRODSECBUG-2789

CVE-2020-24402

Annullamento convalida insufficiente della sessione utente

Accesso non autorizzato a risorse limitate

Importante

No


PRODSECBUG-2785

CVE-2020-24401

Autorizzazione impropria

Modifica non autorizzata di pagine CMS Magento

Importante

No


PRODSECBUG-2796

CVE-2020-24404

Divulgazione di informazioni riservate

Divulgazione del percorso principale del documento

Moderato

No


PRODSECBUG-2798

CVE-2020-24406

Vulnerabilità cross-site scripting (memorizzate XSS)

Esecuzione arbitraria di JavaScript nel browser

Importante


No

PRODSECBUG-2804

CVE-2020-24408

Autorizzazione impropria

Accesso non autorizzato a risorse limitate

Importante

No


PRODSECBUG-2797

CVE-2020-24405

Autorizzazione impropria

Accesso non autorizzato a risorse limitate

Importante

No


PRODSECBUG-2791

CVE-2020-24403

Nota:

Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.   

Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.  

Ulteriori descrizioni tecniche dei CVE citati nel presente documento saranno disponibili sui siti MITRE e NVD .

Aggiornamenti alle dipendenze

Dipendenza

Impatto della vulnerabilità

Versioni interessate

Caricamento file jQuery

Esecuzione di codice arbitrario 

2.4.0 e versioni precedenti 

TinyMCE

Esecuzione JavaScript arbitraria

2.4.0 e versioni precedenti 

Ringraziamenti

Adobe desidera ringraziare le persone indicate di seguito per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:   

  • Edgar Boda-Majer di Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Logo Adobe

Accedi al tuo account