ID del boletín
Última actualización el
21-12-2021
|
También se aplica a Digital Editions
Actualizaciones de seguridad disponibles para Magento | APSB20-02
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB20-02 |
28 de enero de 2020 |
2 |
Resumen
Magento ha publicado actualizaciones para sus ediciones Commerce y Open Source. Estas actualizaciones solucionan vulnerabilidades críticas e importantes. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.
Versiones afectadas
|
Producto |
Versión |
Plataforma |
|---|---|---|
|
Magento Commerce |
2.3.3 y versiones anteriores |
Todas |
|
Magento Open Source |
2.3.3 y versiones anteriores |
Todas |
|
Magento Commerce |
2.2.10 y versiones anteriores |
Todas |
|
Magento Open Source |
2.2.10 y versiones anteriores |
Todas |
|
Magento Enterprise Edition |
1.14.4.3 y versiones anteriores |
Todas |
|
Magento Community Edition |
1.9.4.3 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
|
Producto |
Versión |
Plataforma |
Prioridad Nivel |
Disponibilidad |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Todas |
2 |
|
|
Magento Open Source |
2.3.4 |
Todas |
2 |
|
|
Magento Commerce |
2.2.11 |
Todas |
2 |
|
|
Magento Open Source |
2.2.11 |
Todas |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Todas |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Todas |
2 |
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
ID del error de Magento |
Números CVE |
|---|---|---|---|---|
|
Ataques mediante secuencias de comandos en sitios cruzados almacenados |
Divulgación de información confidencial |
Importante |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Ataques mediante secuencias de comandos en sitios cruzados almacenados |
Divulgación de información confidencial |
Importante |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserialización de datos que no son de confianza |
Ejecución de código arbitraria |
Crítico |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Path traversal |
Divulgación de información confidencial |
Importante |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Evasión de seguridad |
Ejecución de código arbitraria |
Crítico |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
Inyección de código SQL |
Divulgación de información confidencial |
Crítico |
PRODSECBUG-2660 |
CVE-2020-3719 |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
