Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro Magento | APSB20-59

ID bulletinu

Datum zveřejnění

Priorita

APSB20-59

15. října 2020      

2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako důležitékritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.    

Dotčené verze

Produkt

Verze

Platforma

Magento Commerce 

2.3.5-p1 a starší verze  

Vše

Magento Commerce 

2.3.5-p2 a starší verze  

Vše

Magento Commerce 

2.4.0 a starší verze 

Vše

Magento Open Source 

2.3.5-p1 a starší verze 

Vše

Magento Open Source 

2.3.5-p2 a starší verze 

Vše

Magento Open Source 

2.4.0 a starší verze 

Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt

Aktualizovaná verze

Platforma

Úroveň priority

Poznámky k verzi

Magento Commerce 

2.4.1

Vše

2

Magento Open Source 

2.4.1

Vše

2

 

 

 

 

 

Magento Commerce 

2.3.6

Vše

2

Magento Open Source 

2.3.6

Vše

2

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Předběžné ověření?

Jsou vyžadována oprávnění správce?

ID chyby Magento

Čísla CVE

Obejití seznamu souborů, které lze nahrát

Svévolné spuštění kódu 

Kritická 

Ne

Ano

PRODSECBUG-2799

CVE-2020-24407

Vložení kódu SQL

Svévolný přístup k databázi pro čtení nebo zápis

Kritická 

Ne

Ano

PRODSECBUG-2779

CVE-2020-24400

Nesprávná autorizace

Neoprávněná úprava seznamu zákazníků

Důležitá

Ne

Ano

PRODSECBUG-2789

CVE-2020-24402

Nedostatečné ověření relace uživatele

Neoprávněný přístup k prostředkům s omezeným přístupem

Důležitá

Ne

Ano

PRODSECBUG-2785

CVE-2020-24401

Nesprávná autorizace

Neoprávněná úprava stránek Magento CMS

Důležitá

Ne

Ano

PRODSECBUG-2796

CVE-2020-24404

Poskytnutí citlivých informací

Zveřejnění cesty ke kořeni dokumentů

Střední

Ne

Ano

PRODSECBUG-2798

CVE-2020-24406

Skriptování mezi weby (uložený XSS)

Samovolné spuštění JavaScriptu v prohlížeči

Důležitá

Ano

Ne

PRODSECBUG-2804

CVE-2020-24408

Nesprávná autorizace

Neoprávněný přístup k prostředkům s omezeným přístupem

Důležitá

Ne

Ano

PRODSECBUG-2797

CVE-2020-24405

Nesprávná autorizace

Neoprávněný přístup k prostředkům s omezeným přístupem

Důležitá

Ne

Ano

PRODSECBUG-2791

CVE-2020-24403

Poznámka:

Předběžné ověření:  Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.   

Jsou vyžadována oprávnění správce:  Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.  

Další technické popisy chyb zabezpečení CVE uvedených v tomto dokumentu budou dostupné na webech MITRENVD.

Aktualizace závislostí

Závislost

Dopad chyby zabezpečení

Postižené verze

Nahrání souboru jQuery

Svévolné spuštění kódu 

2.4.0 a starší verze 

TinyMCE

Svévolné spuštění kódu JavaScript

2.4.0 a starší verze 

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

  • Edgar Boda-Majer, Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online