Bulletin-ID
Sidst opdateret den
5. maj 2021
|
Gælder også for Digital Editions
Sikkerhedsopdateringer til Magento | APSB20-02
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB20-02 |
28. januar 2020 |
2 |
Resumé
Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Open Source-versionerne. Disse opdateringer løser kritiske og vigtige sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.
Berørte versioner
|
Produkt |
Version |
Platform |
|---|---|---|
|
Magento Commerce |
2.3.3 og tidligere versioner |
Alle |
|
Magento Open Source |
2.3.3 og tidligere versioner |
Alle |
|
Magento Commerce |
2.2.10 og tidligere versioner |
Alle |
|
Magento Open Source |
2.2.10 og tidligere versioner |
Alle |
|
Magento Enterprise Edition |
1.14.4.3 og tidligere versioner |
Alle |
|
Magento Community Edition |
1.9.4.3 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
|
Produkt |
Version |
Platform |
Prioritet Grad |
Tilgængelighed |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Alle |
2 |
|
|
Magento Open Source |
2.3.4 |
Alle |
2 |
|
|
Magento Commerce |
2.2.11 |
Alle |
2 |
|
|
Magento Open Source |
2.2.11 |
Alle |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Alle |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Alle |
2 |
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
Magento Bug ID |
CVE-numre |
|---|---|---|---|---|
|
Lagret cross-site scripting (XSS) |
Afsløring af følsomme oplysninger |
Vigtig |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Stored cross-site scripting |
Afsløring af følsomme oplysninger |
Vigtig |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserialisering af data, der ikke er tillid til |
Vilkårlig kodekørsel |
Kritisk |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Stioverskridelse |
Afsløring af følsomme oplysninger |
Vigtig |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Sikkerhedsomgåelse |
Vilkårlig kodekørsel |
Kritisk |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
SQL injection |
Afsløring af følsomme oplysninger |
Kritisk |
PRODSECBUG-2660 |
CVE-2020-3719 |
Tak til følgende personer
Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
