ID bulletinu
Naposledy aktualizováno
19. 5. 2021
|
Platí také pro Digital Editions
Zveřejnění aktualizací zabezpečení pro Magento | APSB20-47
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
ASPB20-47 |
28. července 2020 |
2 |
Shrnutí
Společnost Magento vydala aktualizace aplikace Magento Commerce 2 (dříve byla uváděna pod názvem Magento Enterprise Edition) a Magento Open Source 2 (dříve byla uváděna pod názvem Magento Community Edition). Tyto aktualizace řeší chyby zabezpečení označené jakodůležité a kritické . Úspěšné zneužití mohlo vést ke svévolnému spuštění kódu a obejití procesu ověření podpisu.
Dotčené verze
|
Produkt |
Verze |
Platforma |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 a starší verze |
Vše |
|
Magento Open Source 2 |
2.3.5-p1 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
|
Produkt |
Aktualizovaná verze |
Platforma |
Úroveň priority |
Poznámky k verzi |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Vše |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Vše |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Vše |
2 |
Není k dispozici |
|
Magento Open Source 2 |
2.3.5-p2 |
Vše |
2 |
Není k dispozici |
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Jsou vyžadována oprávnění správce? |
ID chyby Magento |
Čísla CVE |
|
|---|---|---|---|---|---|---|
|
Průchod cestou |
Svévolné spuštění kódu |
Kritická |
Ne |
Ano |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Znatelný nesoulad načasování |
Obejití ověření podpisu |
Důležitá |
Ne |
Ano |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
Útok XSS DOM |
Svévolné spuštění kódu |
Důležitá |
Ano |
Ne |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Obejití slabšího místa v zabezpečení |
Svévolné spuštění kódu |
Kritická |
Ne |
Ano |
PRODSECBUG-2769 |
CVE-2020-9692 |
Poznámka:
Předběžné ověření: Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.
Jsou vyžadována oprávnění správce: Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:
- Edgar Boda-Majer, Bugscale a Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer, Bugscale (CVE-2020-9692)
