公告 ID
上次更新日期:
2021年4月29日
|
也应用至 Digital Editions
可用于 Magento 的安全更新 | APSB20-02
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB20-02 |
2020 年 1 月 28 日 |
2 |
摘要
Magento 发布了 Magento Commerce 和 Open Source 版本的更新。这些更新解决了一些关键漏洞和重要漏洞。成功利用这些漏洞可能会导致任意代码执行。
受影响的版本
|
产品 |
版本 |
平台 |
|---|---|---|
|
Magento Commerce |
2.3.3 和更早版本 |
全部 |
|
Magento Open Source |
2.3.3 和更早版本 |
全部 |
|
Magento Commerce |
2.2.10 和更早版本 |
全部 |
|
Magento Open Source |
2.2.10 和更早版本 |
全部 |
|
Magento Enterprise Edition |
1.14.4.3 和更早版本 |
全部 |
|
Magento Community Edition |
1.9.4.3 和更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。
|
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
全部 |
2 |
|
|
Magento Open Source |
2.3.4 |
全部 |
2 |
|
|
Magento Commerce |
2.2.11 |
全部 |
2 |
|
|
Magento Open Source |
2.2.11 |
全部 |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
全部 |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
全部 |
2 |
漏洞详情
|
漏洞类别 |
漏洞影响 |
严重性 |
Magento 错误 ID |
CVE 编号 |
|---|---|---|---|---|
|
存储型跨站点脚本 |
敏感信息泄漏 |
重要 |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
存储型跨站点脚本 |
敏感信息泄漏 |
重要 |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
不受信任的数据反序列化 |
任意代码执行 |
关键 |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
路径遍历 |
敏感信息泄漏 |
重要 |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
安全旁路 |
任意代码执行 |
关键 |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
SQL 注入 |
敏感信息泄漏 |
关键 |
PRODSECBUG-2660 |
CVE-2020-3719 |
鸣谢
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
· Ernesto Martin (CVE-2020-3715)
· Blaklis(CVE-2020-3716、CVE-2020-3717、CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
