Tiedotteen tunnus
Magenton tietoturvapäivitykset | APSB20-02
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
APSB20-02 |
28. tammikuuta 2020 |
2 |
Yhteenveto
Magento on julkaissut päivityksiä Magento Commerce- ja Magento Open Source -versioita varten. Nämä päivitykset korjaavat kriittisiä ja tärkeitä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.
Versiot, joita haavoittuvuus koskee
Tuote |
Versio |
Ympäristö |
---|---|---|
Magento Commerce |
2.3.3 ja aiemmat versiot |
Kaikki |
Magento Open Source |
2.3.3 ja aiemmat versiot |
Kaikki |
Magento Commerce |
2.2.10 ja aiemmat versiot |
Kaikki |
Magento Open Source |
2.2.10 ja aiemmat versiot |
Kaikki |
Magento Enterprise Edition |
1.14.4.3 ja aiemmat versiot |
Kaikki |
Magento Community Edition |
1.9.4.3 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Tuote |
Versio |
Ympäristö |
Prioriteettiluokitus |
Saatavuus |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Kaikki |
2 |
|
Magento Open Source |
2.3.4 |
Kaikki |
2 |
|
Magento Commerce |
2.2.11 |
Kaikki |
2 |
|
Magento Open Source |
2.2.11 |
Kaikki |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Kaikki |
2 |
|
Magento Community Edition |
1.9.4.4 |
Kaikki |
2 |
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
Magenton ohjelmavirheen tunnus |
CVE-numerot |
---|---|---|---|---|
Tallennettu sivustojen välinen skriptaus |
Arkaluonteisten tietojen paljastuminen |
Tärkeä |
PRODSECBUG-2543 |
CVE-2020-3715 |
Tallennettu sivustojen välinen skriptaus |
Arkaluonteisten tietojen paljastuminen |
Tärkeä |
PRODSECBUG-2599 |
CVE-2020-3758 |
Ei-luotettavien tietojen sarjoituksen purkaminen |
Mielivaltaisen koodin suoritus |
Kriittinen |
PRODSECBUG-2579 |
CVE-2020-3716 |
Polun vaihtuminen |
Arkaluonteisten tietojen paljastuminen |
Tärkeä |
PRODSECBUG-2632 |
CVE-2020-3717 |
Suojauksen ohitus |
Mielivaltaisen koodin suoritus |
Kriittinen |
PRODSECBUG-2633 |
CVE-2020-3718 |
SQL-injektio |
Arkaluonteisten tietojen paljastuminen |
Kriittinen |
PRODSECBUG-2660 |
CVE-2020-3719 |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)