Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Magento | APSB20-47

Bulletin-ID

Udgivelsesdato

Prioritet

ASPB20-47

28. juli 2020      

2

Resumé

Magento har frigivet sikkerhedsopdateringer til Magento Commerce 2 (tidligere kendt som Magento Enterprise Edition) og Magento Open Source 2 (tidligere kendt som Magento Community Edition). Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og kritiske.  Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel og tilsidesættelse af signaturbekræftelse.





Berørte versioner

Produkt

Version

Platform

Magento Commerce 2

2.3.5-p1 og tidligere versioner 

Alle

Magento Open Source 2

2.3.5-p1 og tidligere versioner 

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt

Opdateret version

Platform

Prioritetsgrad

Produktbemærkninger

Magento Commerce 2

2.4.0

Alle

2

Magento Open Source 2

2.4.0

Alle

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Alle

2

I/T

Magento Open Source 2

2.3.5-p2

Alle

2

I/T

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

Forhåndsgodkendelse?

Administratorrettigheder påkrævet?

Magento Bug ID

CVE-numre

Stioverskridelse

Vilkårlig kodekørsel

Kritisk

Nej

Ja

PRODSECBUG-2716 

CVE-2020-9689

Observerbar tidsafvigelse

Tilsidesættelse af signaturbekræftelse

Vigtig

Nej

Ja

PRODSECBUG-2726

CVE-2020-9690

DOM-baseret Cross-Site Scripting (XSS)

Vilkårlig kodekørsel

Vigtig

Ja

Nej

PRODSECBUG-2533 

CVE-2020-9691

Sikkerhedsomgåelse 

Vilkårlig kodekørsel

Kritisk

Nej

Ja

PRODSECBUG-2769 

CVE-2020-9692 

Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

  • Edgar Boda-Majer fra Bugscale and Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer fra Bugscale (CVE-2020-9692)

Revisioner

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?