Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 19. 5. 2021 | Platí také pro Digital Editions

Zveřejnění aktualizací zabezpečení pro Magento | APSB20-59

ID bulletinu	Datum zveřejnění	Priorita
APSB20-59	15. října 2020	2

Shrnutí

Společnost Magento vydala aktualizace pro produkty Magento Commerce a Magento Open Source. Tyto aktualizace řeší chyby zabezpečení označené jako důležité a kritické. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.

Dotčené verze

Produkt	Verze	Platforma
Magento Commerce	2.3.5-p1 a starší verze	Vše
Magento Commerce	2.3.5-p2 a starší verze	Vše
Magento Commerce	2.4.0 a starší verze	Vše
Magento Open Source	2.3.5-p1 a starší verze	Vše
Magento Open Source	2.3.5-p2 a starší verze	Vše
Magento Open Source	2.4.0 a starší verze	Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.

Produkt	Aktualizovaná verze	Platforma	Úroveň priority	Poznámky k verzi
Magento Commerce	2.4.1	Vše	2	2.4.1 Commerce
Magento Open Source	2.4.1	Vše	2	2.4.1 Open Source

Magento Commerce	2.3.6	Vše	2	2.3.6 Commerce
Magento Open Source	2.3.6	Vše	2	2.3.6 Open Source

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Předběžné ověření?	Jsou vyžadována oprávnění správce?	ID chyby Magento	Čísla CVE
Obejití seznamu souborů, které lze nahrát	Svévolné spuštění kódu	Kritická	Ne	Ano	PRODSECBUG-2799	CVE-2020-24407
Vložení kódu SQL	Svévolný přístup k databázi pro čtení nebo zápis	Kritická	Ne	Ano	PRODSECBUG-2779	CVE-2020-24400
Nesprávná autorizace	Neoprávněná úprava seznamu zákazníků	Důležitá	Ne	Ano	PRODSECBUG-2789	CVE-2020-24402
Nedostatečné ověření relace uživatele	Neoprávněný přístup k prostředkům s omezeným přístupem	Důležitá	Ne	Ano	PRODSECBUG-2785	CVE-2020-24401
Nesprávná autorizace	Neoprávněná úprava stránek Magento CMS	Důležitá	Ne	Ano	PRODSECBUG-2796	CVE-2020-24404
Poskytnutí citlivých informací	Zveřejnění cesty ke kořeni dokumentů	Střední	Ne	Ano	PRODSECBUG-2798	CVE-2020-24406
Skriptování mezi weby (uložený XSS)	Samovolné spuštění JavaScriptu v prohlížeči	Důležitá	Ano	Ne	PRODSECBUG-2804	CVE-2020-24408
Nesprávná autorizace	Neoprávněný přístup k prostředkům s omezeným přístupem	Důležitá	Ne	Ano	PRODSECBUG-2797	CVE-2020-24405
Nesprávná autorizace	Neoprávněný přístup k prostředkům s omezeným přístupem	Důležitá	Ne	Ano	PRODSECBUG-2791	CVE-2020-24403

Poznámka:

Předběžné ověření: Chyba zabezpečení je zneužitelná bez přihlašovacích údajů.

Jsou vyžadována oprávnění správce: Chyba zabezpečení je zneužitelná jen útočníkem s oprávněními správce.

Další technické popisy chyb zabezpečení CVE uvedených v tomto dokumentu budou dostupné na webech MITRE a NVD.

Aktualizace závislostí

Závislost	Dopad chyby zabezpečení	Postižené verze
Nahrání souboru jQuery	Svévolné spuštění kódu	2.4.0 a starší verze
TinyMCE	Svévolné spuštění kódu JavaScript	2.4.0 a starší verze

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům:   

Edgar Boda-Majer, Bugscale (CVE-2020-24408)
Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
Ihorsv (CVE-2020-24406)
Malerisch (CVE-2020-24407)
Dang Toan (CVE-2020-24403)
Yonatan Offek (CVE-2020-24400)

Získejte pomoc rychleji a snáze

Nový uživatel?