ID bulletinu
Zveřejnění aktualizací zabezpečení pro Magento | APSB20-02
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB20-02 |
28. ledna 2020 |
2 |
Shrnutí
Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší kritické a důležité chyby zabezpečení. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.
Dotčené verze
Produkt |
Verze |
Platforma |
---|---|---|
Magento Commerce |
2.3.3 a starší verze |
Vše |
Magento Open Source |
2.3.3 a starší verze |
Vše |
Magento Commerce |
2.2.10 a starší verze |
Vše |
Magento Open Source |
2.2.10 a starší verze |
Vše |
Magento Enterprise Edition |
1.14.4.3 a starší verze |
Vše |
Magento Community Edition |
1.9.4.3 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Produkt |
Verze |
Platforma |
Priorita Hodnocení |
Dostupnost |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Vše |
2 |
|
Magento Open Source |
2.3.4 |
Vše |
2 |
|
Magento Commerce |
2.2.11 |
Vše |
2 |
|
Magento Open Source |
2.2.11 |
Vše |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Vše |
2 |
|
Magento Community Edition |
1.9.4.4 |
Vše |
2 |
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
ID chyby Magento |
Čísla CVE |
---|---|---|---|---|
Stored cross-site scripting |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2543 |
CVE-2020-3715 |
Stored cross-site scripting |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2599 |
CVE-2020-3758 |
Deserializace nedůvěryhodných dat |
Svévolné spuštění kódu |
Kritická |
PRODSECBUG-2579 |
CVE-2020-3716 |
Průchod cestou |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2632 |
CVE-2020-3717 |
Překonání prvků zabezpečení |
Svévolné spuštění kódu |
Kritická |
PRODSECBUG-2633 |
CVE-2020-3718 |
SQL injekce |
Poskytnutí citlivých informací |
Kritická |
PRODSECBUG-2660 |
CVE-2020-3719 |
Poděkování
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)