ID bulletinu
Naposledy aktualizováno
19. 5. 2021
|
Platí také pro Digital Editions
Zveřejnění aktualizací zabezpečení pro Magento | APSB20-02
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB20-02 |
28. ledna 2020 |
2 |
Shrnutí
Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší kritické a důležité chyby zabezpečení. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.
Dotčené verze
|
Produkt |
Verze |
Platforma |
|---|---|---|
|
Magento Commerce |
2.3.3 a starší verze |
Vše |
|
Magento Open Source |
2.3.3 a starší verze |
Vše |
|
Magento Commerce |
2.2.10 a starší verze |
Vše |
|
Magento Open Source |
2.2.10 a starší verze |
Vše |
|
Magento Enterprise Edition |
1.14.4.3 a starší verze |
Vše |
|
Magento Community Edition |
1.9.4.3 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
|
Produkt |
Verze |
Platforma |
Priorita Hodnocení |
Dostupnost |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Vše |
2 |
|
|
Magento Open Source |
2.3.4 |
Vše |
2 |
|
|
Magento Commerce |
2.2.11 |
Vše |
2 |
|
|
Magento Open Source |
2.2.11 |
Vše |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Vše |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Vše |
2 |
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
ID chyby Magento |
Čísla CVE |
|---|---|---|---|---|
|
Stored cross-site scripting |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Stored cross-site scripting |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserializace nedůvěryhodných dat |
Svévolné spuštění kódu |
Kritická |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Průchod cestou |
Poskytnutí citlivých informací |
Důležitá |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Překonání prvků zabezpečení |
Svévolné spuštění kódu |
Kritická |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
SQL injekce |
Poskytnutí citlivých informací |
Kritická |
PRODSECBUG-2660 |
CVE-2020-3719 |
Poděkování
Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
