Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Magento | APSB20-59

ID del boletín

Fecha de publicación

Prioridad

APSB20-59

15 de octubre de 2020      

2

Resumen

Magento ha publicado actualizaciones para sus ediciones Magento Commerce y Magento Open Source. Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.    

Versiones afectadas

Producto

Versión

Plataforma

Magento Commerce 

2.3.5-p1 y versiones anteriores  

Todas

Magento Commerce 

2.3.5-p2 y versiones anteriores  

Todas

Magento Commerce 

2.4.0 y versiones anteriores 

Todas

Magento Open Source 

2.3.5-p1 y versiones anteriores

Todas

Magento Open Source 

2.3.5-p2 y versiones anteriores

Todas

Magento Open Source 

2.4.0 y versiones anteriores 

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto

Versión actualizada

Plataforma

Prioridad Nivel

Notas de la versión

Magento Commerce 

2.4.1

Todas

2

Magento Open Source 

2.4.1

Todas

2

 

 

 

 

 

Magento Commerce 

2.3.6

Todas

2

Magento Open Source 

2.3.6

Todas

2

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

¿Autenticación previa?

¿Se requieren privilegios administrativos?

ID del error de Magento

Números CVE

Omisión de lista de permitidos de la subida de archivos

Ejecución de código arbitraria 

Crítico 

No


PRODSECBUG-2799

CVE-2020-24407

nyección de código SQL

Acceso arbitrario de lectura o escritura a la base de datos

Crítico 

No


PRODSECBUG-2779

CVE-2020-24400

Autorización incorrecta

Modificación no autorizada de la lista de clientes

Importante

No


PRODSECBUG-2789

CVE-2020-24402

Invalidación insuficiente de la sesión del usuario

Acceso no autorizado a recursos restringidos

Importante

No


PRODSECBUG-2785

CVE-2020-24401

Autorización incorrecta

Modificación no autorizada de páginas CMS de Magento

Importante

No


PRODSECBUG-2796

CVE-2020-24404

Divulgación de información confidencial

Divulgación de la ruta raíz del documento

Moderado

No


PRODSECBUG-2798

CVE-2020-24406

Secuencias de comandos en sitios cruzados (XSS almacenadas)

Ejecución de JavaScript arbitraria en el navegador

Importante


No

PRODSECBUG-2804

CVE-2020-24408

Autorización incorrecta

Acceso no autorizado a recursos restringidos

Importante

No


PRODSECBUG-2797

CVE-2020-24405

Autorización incorrecta

Acceso no autorizado a recursos restringidos

Importante

No


PRODSECBUG-2791

CVE-2020-24403

Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Las descripciones técnicas adicionales de las CVE a las que se hace referencia en este documento estarán disponibles en los sitios de MITRE y NVD.

Actualizaciones de dependencias

Dependencia

Impacto de la vulnerabilidad

Versiones afectadas

Subida de archivo jQuery

Ejecución de código arbitraria 

2.4.0 y versiones anteriores 

TinyMCE

Ejecución arbitraria de JavaScript

2.4.0 y versiones anteriores 

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Edgar Boda-Majer de Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea