Adobe 安全公告

可用于 Magento 的安全更新 | APSB20-47

公告 ID

发布日期

优先级

ASPB20-47

2020 年 7 月 28 日      

2

摘要

Magento 已发布 Magento Commerce 2(以前称为 Magento 企业版)和 Magento Open Source 2(以前称为 Magento 社区版)的更新。这些更新解决了一些等级为重要关键的漏洞。成功利用这些漏洞可能导致执行任意代码和绕过签名验证。





受影响的版本

产品

版本

平台

Magento Commerce 2

2.3.5-p1 及更早版本

全部

Magento Open Source 2

2.3.5-p1 及更早版本

全部

解决方案

Adobe 按照以下优先级将这些更新分类,并建议用户将其安装的软件更新至最新版本。

产品

更新后的版本

平台

优先级

发行说明

Magento Commerce 2

2.4.0

全部

2

Magento Open Source 2

2.4.0

全部

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

全部

2

暂无

Magento Open Source 2

2.3.5-p2

全部

2

暂无

漏洞详情

漏洞类别

漏洞影响

严重性

预身份验证?

需要管理员权限?

Magento 错误 ID

CVE 编号

路径遍历

任意代码执行

关键

PRODSECBUG-2716 

CVE-2020-9689

可观察到的时间差异

绕过签名验证

重要

PRODSECBUG-2726

CVE-2020-9690

基于 DOM 的跨站点脚本

任意代码执行

重要

PRODSECBUG-2533 

CVE-2020-9691

绕过安全风险减轻措施 

任意代码执行

关键

PRODSECBUG-2769 

CVE-2020-9692 

注意:

预身份验证:无需凭据即可利用此漏洞。   

需要管理员权限:该漏洞仅会被具有管理权限的攻击者利用。 

鸣谢

Adobe 在此感谢下列个人报告相关问题并与 Adobe 一同保护我们的客户:   

  • 来自 Bugscale 的 Edgar Boda-Majer 和 Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691)
  • 来自 Bugscale 的 Edgar Boda-Majer (CVE-2020-9692)

修订

Adobe 徽标

登录到您的帐户