Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Magento | APSB20-59

Bulletin-ID

Udgivelsesdato

Prioritet

APSB20-59

15. oktober 2020      

2

Resumé

Magento har frigivet sikkerhedsopdateringer til Magento Commerce og Magento Open Source. Disse opdateringer løser sikkerhedsproblemer, der klassificeres som vigtige og kritiske. Udnyttelse af disse sikkerhedsproblemer kan medføre vilkårlig kodekørsel.    

Berørte versioner

Produkt

Version

Platform

Magento Commerce 

2.3.5-p1 og tidligere versioner  

Alle

Magento Commerce 

2.3.5-p2 og tidligere versioner  

Alle

Magento Commerce 

2.4.0 og tidligere versioner 

Alle

Magento Open Source 

2.3.5-p1 og tidligere versioner 

Alle

Magento Open Source 

2.3.5-p2 og tidligere versioner 

Alle

Magento Open Source 

2.4.0 og tidligere versioner 

Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.

Produkt

Opdateret version

Platform

Prioritetsgrad

Produktbemærkninger

Magento Commerce 

2.4.1

Alle

2

Magento Open Source 

2.4.1

Alle

2

 

 

 

 

 

Magento Commerce 

2.3.6

Alle

2

Magento Open Source 

2.3.6

Alle

2

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

Forhåndsgodkendelse?

Administratorrettigheder påkrævet?

Magento Bug ID

CVE-numre

Omgåelse af tilladelsesliste for filoverførsel

Vilkårlig kodekørsel 

Kritisk 

Nej

Ja

PRODSECBUG-2799

CVE-2020-24407

SQL injection

Vilkårlig læse- og skriveadgang til database

Kritisk 

Nej

Ja

PRODSECBUG-2779

CVE-2020-24400

Ukorrekt autorisation

Uautoriseret ændring af kundeliste

Vigtig

Nej

Ja

PRODSECBUG-2789

CVE-2020-24402

Utilstrækkelig ugyldiggørelse af brugersession

Uautoriseret adgang til begrænsede ressourcer

Vigtig

Nej

Ja

PRODSECBUG-2785

CVE-2020-24401

Ukorrekt autorisation

Uautoriseret ændring af Magento CMS-sider

Vigtig

Nej

Ja

PRODSECBUG-2796

CVE-2020-24404

Afsløring af følsomme oplysninger

Afsløring af dokumenters rodsti

Moderat

Nej

Ja

PRODSECBUG-2798

CVE-2020-24406

Cross-site scripting (lagret XSS)

Kørsel af vilkårlig javascript-kode i browseren

Vigtig

Ja

Nej

PRODSECBUG-2804

CVE-2020-24408

Ukorrekt autorisation

Uautoriseret adgang til begrænsede ressourcer

Vigtig

Nej

Ja

PRODSECBUG-2797

CVE-2020-24405

Ukorrekt autorisation

Uautoriseret adgang til begrænsede ressourcer

Vigtig

Nej

Ja

PRODSECBUG-2791

CVE-2020-24403

Bemærk:

Forhåndsgodkendelse:  Sikkerhedsproblemet kan udnyttes uden logonoplysninger.   

Administratorrettigheder er påkrævet:  Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.  

Yderligere tekniske beskrivelser af de CVE'er, der henvises til i dette dokument, vil blive gjort tilgængelige på MITRE- og NVD-webstederne.

Opdateringer af afhængigheder

Afhængighed

Virkning af sikkerhedsproblem

Berørte versioner

jQuery-filoverførsel

Vilkårlig kodekørsel 

2.4.0 og tidligere versioner 

TinyMCE

Vilkårlig JavaScript-kodekørsel

2.4.0 og tidligere versioner 

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:   

  • Edgar Boda-Majer fra Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Adobe-logo

Log ind på din konto