Bulletin-ID
Sikkerhedsopdateringer til Magento | APSB20-59
|
Udgivelsesdato |
Prioritet |
---|---|---|
APSB20-59 |
15. oktober 2020 |
2 |
Resumé
Berørte versioner
Produkt |
Version |
Platform |
---|---|---|
Magento Commerce |
2.3.5-p1 og tidligere versioner |
Alle |
Magento Commerce |
2.3.5-p2 og tidligere versioner |
Alle |
Magento Commerce |
2.4.0 og tidligere versioner |
Alle |
Magento Open Source |
2.3.5-p1 og tidligere versioner |
Alle |
Magento Open Source |
2.3.5-p2 og tidligere versioner |
Alle |
Magento Open Source |
2.4.0 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Produkt |
Opdateret version |
Platform |
Prioritetsgrad |
Produktbemærkninger |
---|---|---|---|---|
Magento Commerce |
2.4.1 |
Alle |
2 |
|
Magento Open Source |
2.4.1 |
Alle |
2 |
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Alle |
2 |
|
Magento Open Source |
2.3.6 |
Alle |
2 |
Sikkerhedsoplysninger
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
Administratorrettigheder påkrævet? |
Magento Bug ID |
CVE-numre |
|
---|---|---|---|---|---|---|
Omgåelse af tilladelsesliste for filoverførsel |
Vilkårlig kodekørsel |
Kritisk |
Nej |
Ja |
PRODSECBUG-2799 |
CVE-2020-24407 |
SQL injection |
Vilkårlig læse- og skriveadgang til database |
Kritisk |
Nej |
Ja |
PRODSECBUG-2779 |
CVE-2020-24400 |
Ukorrekt autorisation |
Uautoriseret ændring af kundeliste |
Vigtig |
Nej |
Ja |
PRODSECBUG-2789 |
CVE-2020-24402 |
Utilstrækkelig ugyldiggørelse af brugersession |
Uautoriseret adgang til begrænsede ressourcer |
Vigtig |
Nej |
Ja |
PRODSECBUG-2785 |
CVE-2020-24401 |
Ukorrekt autorisation |
Uautoriseret ændring af Magento CMS-sider |
Vigtig |
Nej |
Ja |
PRODSECBUG-2796 |
CVE-2020-24404 |
Afsløring af følsomme oplysninger |
Afsløring af dokumenters rodsti |
Moderat |
Nej |
Ja |
PRODSECBUG-2798 |
CVE-2020-24406 |
Cross-site scripting (lagret XSS) |
Kørsel af vilkårlig javascript-kode i browseren |
Vigtig |
Ja |
Nej |
PRODSECBUG-2804 |
CVE-2020-24408 |
Ukorrekt autorisation |
Uautoriseret adgang til begrænsede ressourcer |
Vigtig |
Nej |
Ja |
PRODSECBUG-2797 |
CVE-2020-24405 |
Ukorrekt autorisation |
Uautoriseret adgang til begrænsede ressourcer |
Vigtig |
Nej |
Ja |
PRODSECBUG-2791 |
CVE-2020-24403 |
Forhåndsgodkendelse: Sikkerhedsproblemet kan udnyttes uden logonoplysninger.
Administratorrettigheder er påkrævet: Sikkerhedsproblemet kan kun udnyttes af en hacker med administratorrettigheder.
Yderligere tekniske beskrivelser af de CVE'er, der henvises til i dette dokument, vil blive gjort tilgængelige på MITRE- og NVD-webstederne.
Opdateringer af afhængigheder
Afhængighed |
Virkning af sikkerhedsproblem |
Berørte versioner |
---|---|---|
jQuery-filoverførsel |
Vilkårlig kodekørsel |
2.4.0 og tidligere versioner |
TinyMCE |
Vilkårlig JavaScript-kodekørsel |
2.4.0 og tidligere versioner |
Tak til følgende personer
Adobe vil gerne takke følgende personer for at rapportere de relevante problemer og samarbejde med os om at beskytte vores kunders sikkerhed:
- Edgar Boda-Majer fra Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)