Bulletin-ID
Sikkerhedsopdateringer til Magento | APSB20-47
|
Udgivelsesdato |
Prioritet |
---|---|---|
ASPB20-47 |
28. juli 2020 |
2 |
Resumé
Magento har frigivet sikkerhedsopdateringer til Magento Commerce 2 (tidligere kendt som Magento Enterprise Edition) og Magento Open Source 2 (tidligere kendt som Magento Community Edition). Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og kritiske. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel og tilsidesættelse af signaturbekræftelse.
Berørte versioner
Produkt |
Version |
Platform |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 og tidligere versioner |
Alle |
Magento Open Source 2 |
2.3.5-p1 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Produktbemærkninger |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Alle |
2 |
|
Magento Open Source 2 |
2.4.0 |
Alle |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alle |
2 |
I/T |
Magento Open Source 2 |
2.3.5-p2 |
Alle |
2 |
I/T |
Sikkerhedsoplysninger
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
Administratorrettigheder påkrævet? |
Magento Bug ID |
CVE-numre |
|
---|---|---|---|---|---|---|
Stioverskridelse |
Vilkårlig kodekørsel |
Kritisk |
Nej |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
Observerbar tidsafvigelse |
Tilsidesættelse af signaturbekræftelse |
Vigtig |
Nej |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
DOM-baseret Cross-Site Scripting (XSS) |
Vilkårlig kodekørsel |
Vigtig |
Ja |
Nej |
PRODSECBUG-2533 |
CVE-2020-9691 |
Sikkerhedsomgåelse |
Vilkårlig kodekørsel |
Kritisk |
Nej |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Forhåndsgodkendelse: Sikkerhedsproblemet kan udnyttes uden logonoplysninger.
Administratorrettigheder er påkrævet: Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:
- Edgar Boda-Majer fra Bugscale and Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer fra Bugscale (CVE-2020-9692)