公告 ID
上次更新日期:
2021年4月29日
|
也应用至 Digital Editions
可用于 Magento 的安全更新 | APSB20-22
|
|
发布日期 |
优先级 |
|---|---|---|
|
ASPB20-22 |
2020 年 4 月 28 日 |
2 |
摘要
Magento 发布了 Magento Commerce 和 Open Source 版本的更新。这些更新解决了等级为“严重”、“重要”和“中等”(严重等级)的漏洞。成功利用这些漏洞可能会导致任意代码执行。
受影响的版本
|
产品 |
版本 |
平台 |
|---|---|---|
|
Magento Commerce |
2.3.4 和更早版本 |
全部 |
|
Magento Open Source |
2.3.4 和更早版本 |
全部 |
|
Magento Commerce |
2.2.11 和更早版本(请参阅附注) |
全部 |
|
Magento Open Source |
2.2.11 和更早版本(请参阅附注) |
全部 |
|
Magento Enterprise Edition |
1.14.4.4 和更早版本 |
全部 |
|
Magento Community Edition |
1.9.4.4 和更早版本 |
全部 |
注意:
对 Magento 2.2x 的支持于 2019 年 12 月 31 日终止。
解决方案
Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。
|
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
全部 |
2 |
|
|
Magento Open Source |
2.3.4-p2 |
全部 |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
全部 |
2 |
|
|
Magento Open Source |
2.3.5-p1 |
全部 |
2 |
|
|
Magento Enterprise Edition |
1.14.4.5 |
全部 |
2 |
|
|
Magento Community Edition |
1.9.4.5 |
全部 |
2 |
注意:
Magento Commerce 2.2.12 仅可用于 Commerce 扩展支持客户。
漏洞详情
注意:
1. CVE-2020-9585 在默认安装中得到缓解
2. CVE-2020-9591 仅影响 Magento 1
注意:
预身份验证:无需凭据即可利用此漏洞。
需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。
鸣谢
Adobe 衷心感谢以下个人和组织,感谢他们报告相关问题并与 Adobe 一起帮助保护我们的客户:
- Blaklis(CVE-2020-9576、CVE-2020-9579、CVE-2020-9581、CVE-2020-9582、CVE-2020-9583、CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
修订
2020 年 5 月 4 日:已删除 CVE-2020-9586 的致谢。
2020 年 5 月 7 日:添加了最初公告因疏忽而遗漏的 CVE-2020-9630。
2020 年 5 月 12 日:添加了最初公告因疏忽而遗漏的 CVE-2020-9631 和 CVE-2020-9632。
