Adobe sikkerhedsbulletin

Søg

Sikkerhedsopdateringer til Magento | APSB20-22

Bulletin-ID

Udgivelsesdato

Prioritet

ASPB20-22

28. april 2020      

2

Resumé

Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Open Source-versionerne.  Disse opdateringer løser sikkerhedsproblemer, der klassificeres som kritiske, vigtige og moderate (alvorlighedsgrader).  Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.    

Berørte versioner

Produkt

Version

Platform

Magento Commerce 

2.3.4 og tidligere versioner    

Alle

Magento Open Source

2.3.4 og tidligere versioner    

Alle

Magento Commerce 

2.2.11 og tidligere versioner (se note)

Alle

Magento Open Source

2.2.11 og tidligere versioner (se note)

Alle

Magento Enterprise Edition 

1.14.4.4 og tidligere versioner    

Alle

Magento Community Edition 

1.9.4.4 og tidligere versioner

Alle
Bemærk:

Magento 2.2x nåede supportophør d. 31. december 2019.

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt

Version

Platform

Prioritet Grad

Tilgængelighed

Magento Commerce    

2.3.4-p2

Alle

2

2.3.4-p2 Commerce

Magento Open Source 

2.3.4-p2

Alle

2

2.3.4-p2 Open Source

Magento Commerce    

2.3.5-p1

Alle

2

2.3.5 Commerce

Magento Open Source 

2.3.5-p1

Alle

2

2.3.5 Open Source

Magento Enterprise Edition 

1.14.4.5

Alle

2

1.14.4.5

Magento Community Edition 

1.9.4.5

Alle

2

1.9.4.5
Bemærk:

Magento Commerce 2.2.12 er udelukkende tilgængelig for Commerce-kunder med udvidet support.

Sikkerhedsoplysninger

Sikkerhedskategori Virkning af sikkerhedsproblem Alvorlighed Forhåndsgodkendelse? Administratorrettigheder påkrævet?

 Magento Bug ID CVE-numre
Kommandoinjektion



 Vilkårlig kodekørsel



 Kritisk



 Nej Ja PRODSECBUG-2707



 CVE-2020-9576
Stored cross-site scripting    



 Afsløring af følsomme oplysninger    



 Vigtig Ja



 Nej PRODSECBUG-2671



 CVE-2020-9577 
Kommandoinjektion



 Vilkårlig kodekørsel



 Kritisk 



 Nej Ja PRODSECBUG-2695



 CVE-2020-9578  
Sikkerhedsomgåelse



 Vilkårlig kodekørsel



 Kritisk



 Nej



 Ja



 PRODSECBUG-2696



 CVE-2020-9579
Sikkerhedsomgåelse



 Vilkårlig kode-kørsel Kritisk



 Nej



 Ja



 PRODSECBUG-2697



 CVE-2020-9580
Stored cross-site scripting



 Afsløring af følsomme oplysninger



 Vigtig



 Nej



 Ja



 PRODSECBUG-2700



 CVE-2020-9581
Kommandoinjektion



 Vilkårlig kodekørsel



 Kritisk



 Nej



 Ja



 PRODSECBUG-2708



 CVE-2020-9582
Kommandoinjektion



 Vilkårlig kodekørsel



 Kritisk



 Nej



 Ja



 PRODSECBUG-2710



 CVE-2020-9583
Stored cross-site scripting



 Afsløring af følsomme oplysninger



 Vigtig



 Ja



 Nej



 PRODSECBUG-2715



 CVE-2020-9584
Defense-in-depth-afhjælpning af sikkerhedsproblemer



 Vilkårlig kodekørsel



 Moderat



 Nej



 Ja



 PRODSECBUG-2541



 CVE-2020-9585
Defense-in-depth-afhjælpning af sikkerhedsproblemer



 Uautoriseret adgang til adminstratorpanel



 Moderat



 Ja Ja



 MPERF-10898



 CVE-2020-9591
Autorisationsomgåelse



 Potentielt uautoriserede produktrabatter



 Moderat



 Ja



 Nej



 PRODSECBUG-2518



 CVE-2020-9587
Observerbar tidsafvigelse Tilsidesættelse af signaturbekræftelse



 Vigtig



 Nej



 Ja



 PRODSECBUG-2677



 CVE-2020-9588
Business Logic-fejl Eskalering af rettigheder Vigtig Nej Ja PRODSECBUG-2722 CVE-2020-9630
Sikkerhedsomgåelse Vilkårlig kodekørsel Kritisk Nej Ja PRODSECBUG-2703 CVE-2020-9631
Sikkerhedsomgåelse Vilkårlig kodekørsel Kritisk Nej Ja PRODSECBUG-2704 CVE-2020-9632
Bemærk:

1.     CVE-2020-9585 er afhjulpet via standardinstallationer

2.     CVE-2020-9591 påvirker udelukkende Magento 1

Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Tak til følgende personer

Adobe vil gerne takke følgende personer og organisationer for at rapportere de relevante sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisioner

4. maj 2020: Afsnittet "Tak til følgende personer" fjernet vedrørende CVE-2020-9586.

7. maj 2020: Har tilføjet CVE-2020-9630, som ved en fejl var blevet udeladt fra den oprindelige version. 

12. maj 2020: Har tilføjet CVE-2020-9631 og CVE-2020-9632, som ved en fejl var blevet udeladt fra den oprindelige version. 

Få hjælp hurtigere og nemmere

Ny bruger?

Hurtige links

Se alle dine planer Administrer dine planer
Se hurtige links
Skjul hurtige links