Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro Magento | APSB20-22

ID bulletinu

Datum zveřejnění

Priorita

ASPB20-22

28. dubna 2020      

2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source.  Tyto aktualizace řeší chyby zabezpečení s kritickou, důležitou a střední závažností.  Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.    

Dotčené verze

Produkt

Verze

Platforma

Magento Commerce 

2.3.4 a starší verze    

Vše

Magento Open Source   

2.3.4 a starší verze    

Vše

Magento Commerce 

2.2.11 a starší verze (viz poznámka)

Vše

Magento Open Source  

2.2.11 a starší verze (viz poznámka)

Vše

Magento Enterprise Edition    

1.14.4.4 a starší verze    

Vše

Magento Community Edition  

1.9.4.4 a starší verze

Vše

Poznámka:

Aplikace Magento 2.2x od 31. prosince 2019 už není podporována.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt

Verze

Platforma

Priorita Hodnocení

Dostupnost

Magento Commerce    

2.3.4-p2

Vše

2

Magento Open Source    

2.3.4-p2

Vše

2

Magento Commerce    

2.3.5-p1

Vše

2

Magento Open Source    

2.3.5-p1

Vše

2

Magento Enterprise Edition    

1.14.4.5

Vše

2

Magento Community Edition    

1.9.4.5

Vše

2

Poznámka:

Magento Commerce 2.2.12 je k dispozici výhradně zákazníkům Commerce s rozšířenou podporou.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Předběžné ověření? Jsou vyžadována oprávnění správce?

ID chyby Magento Čísla CVE
Vložení příkazu



Svévolné spuštění kódu



Kritické



Ne Ano PRODSECBUG-2707



CVE-2020-9576



Stored cross-site scripting    



Poskytnutí citlivých informací    



Důležitá Ano



Ne PRODSECBUG-2671



CVE-2020-9577 



Vložení příkazu



Svévolné spuštění kódu



Kritické 



Ne Ano PRODSECBUG-2695



CVE-2020-9578  



Obejití slabšího místa v zabezpečení



Svévolné spuštění kódu



Kritické



Ne



Ano



PRODSECBUG-2696



CVE-2020-9579
Obejití slabšího místa v zabezpečení



Svévolné spuštění kódu Kritické



Ne



Ano



PRODSECBUG-2697



CVE-2020-9580
Stored cross-site scripting



Poskytnutí citlivých informací



Důležité



Ne



Ano



PRODSECBUG-2700



CVE-2020-9581
Vložení příkazu



Svévolné spuštění kódu



Kritické



Ne



Ano



PRODSECBUG-2708



CVE-2020-9582
Vložení příkazu



Svévolné spuštění kódu



Kritické



Ne



Ano



PRODSECBUG-2710



CVE-2020-9583
Stored cross-site scripting



Poskytnutí citlivých informací



Důležité



Ano



Ne



PRODSECBUG-2715



CVE-2020-9584
Bezpečnostní chyba Defense-in-depth



Svévolné spuštění kódu



Střední



Ne



Ano



PRODSECBUG-2541



CVE-2020-9585
Bezpečnostní chyba Defense-in-depth



Neoprávněný přístup k panelu správce



Střední



Ano Ano



MPERF-10898



CVE-2020-9591



Obejití ověření



Potenciálně nedovolené slevy na produkty



Střední



Ano



Ne



PRODSECBUG-2518



CVE-2020-9587



Znatelný nesoulad načasování Obejití ověření podpisu



Důležité



Ne



Ano



PRODSECBUG-2677



CVE-2020-9588
Chyba obchodní logiky Eskalace oprávnění Důležitá Ne Ano PRODSECBUG-2722 CVE-2020-9630
Obejití slabšího místa v zabezpečení Svévolné spuštění kódu Kritická Ne Ano PRODSECBUG-2703 CVE-2020-9631
Obejití slabšího místa v zabezpečení Svévolné spuštění kódu Kritická Ne Ano PRODSECBUG-2704 CVE-2020-9632
Poznámka:

1.     CVE-2020-9585 je vyřešen výchozí instalací

2.     CVE-2020-9591 má dopad výhradně na Magento 1

Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Verze

4. května 2020: Bylo odstraněno poděkování za práci na chybě zabezpečení CVE-2020-9586.

7. května 2020: Byla přidána chyba zabezpečení CVE-2020-9630, která byla omylem v původní verzi vynechána. 

12. května 2020: Byly přidány chyby zabezpečení CVE-2020-9631 a CVE-2020-9632, které byly omylem v původní verzi vynechány. 

Logo Adobe

Přihlaste se ke svému účtu.