Adobe 安全公告

可用于 Magento 的安全更新 | APSB20-02

公告 ID

发布日期

优先级

APSB20-02

 2020 年 1 月 28 日

2

摘要

Magento 发布了 Magento Commerce 和 Open Source 版本的更新。这些更新解决了一些关键漏洞和重要漏洞。成功利用这些漏洞可能会导致任意代码执行。    

受影响的版本

产品

版本

平台

Magento Commerce 

2.3.3 和更早版本    

全部

Magento Open Source   

2.3.3 和更早版本    

全部

Magento Commerce 

2.2.10 和更早版本    

全部

Magento Open Source  

2.2.10 和更早版本    

全部

Magento Enterprise Edition    

1.14.4.3 和更早版本    

全部

Magento Community Edition   

1.9.4.3 和更早版本    

全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品

版本

平台

优先级

获取途径

Magento Commerce    

2.3.4

全部

2

Magento Open Source    

2.3.4

全部

2

Magento Commerce    

2.2.11

全部

2

Magento Open Source    

2.2.11

全部

2

Magento Enterprise Edition    

1.14.4.4

全部

2

Magento Community Edition    

1.9.4.4

全部

2

漏洞详情

漏洞类别

漏洞影响

严重性

Magento 错误 ID    

CVE 编号

存储型跨站点脚本    

敏感信息泄漏    

重要

PRODSECBUG-2543    

CVE-2020-3715    

存储型跨站点脚本    

敏感信息泄漏    

重要    

PRODSECBUG-2599

CVE-2020-3758

不受信任的数据反序列化    

任意代码执行    

关键    

PRODSECBUG-2579

CVE-2020-3716

路径遍历    

敏感信息泄漏    

重要    

PRODSECBUG-2632

CVE-2020-3717

安全旁路    

任意代码执行    

关键    

PRODSECBUG-2633

CVE-2020-3718

SQL 注入    

敏感信息泄漏    

关键    

PRODSECBUG-2660

CVE-2020-3719

鸣谢

Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:   

·       Ernesto Martin (CVE-2020-3715)

·       Blaklis(CVE-2020-3716、CVE-2020-3717、CVE-2020-3718)

·       Luke Rodgers (CVE-2020-3719)

·       Djordje Marjanovic (CVE-2020-3758)

Adobe 徽标

登录到您的帐户

[Feedback V2 Badge]