Tiedotteen tunnus
Magenton tietoturvapäivitykset | APSB20-47
|
Julkaisupäivä |
Prioriteetti |
---|---|---|
ASPB20-47 |
28.7.2020 |
2 |
Yhteenveto
Magento on julkaissut päivityksiä Magento Commerce 2:lle (aikaisemmalta nimeltään Magento Enterprise Edition) ja Magento Open Source 2:lle (aikaisemmalta nimeltään Magento Community Edition). Nämä päivitykset ratkaisevat tärkeitä ja kriittisiä haavoittuvuuksia. Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen ja allekirjoituksen vahvistuksen ohitukseen.
Versiot, joita haavoittuvuus koskee
Tuote |
Versio |
Ympäristö |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 ja aiemmat versiot |
Kaikki |
Magento Open Source 2 |
2.3.5-p1 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
Julkaisutiedot |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Kaikki |
2 |
|
Magento Open Source 2 |
2.4.0 |
Kaikki |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Kaikki |
2 |
E/S |
Magento Open Source 2 |
2.3.5-p2 |
Kaikki |
2 |
E/S |
Lisätietoja haavoittuvuuksista
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
Tarvitaan järjestelmänvalvojan oikeudet? |
Magenton ohjelmavirheen tunnus |
CVE-numerot |
|
---|---|---|---|---|---|---|
Polun vaihtuminen |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei |
Kyllä |
PRODSECBUG-2716 |
CVE-2020-9689 |
Havaittava ajoituksen ristiriita |
Allekirjoituksen vahvistuksen ohitus |
Tärkeä |
Ei |
Kyllä |
PRODSECBUG-2726 |
CVE-2020-9690 |
DOM-pohjainen sivustojen välinen komentosarjojen käsittely |
Mielivaltaisen koodin suoritus |
Tärkeä |
Kyllä |
Ei |
PRODSECBUG-2533 |
CVE-2020-9691 |
Tietoturvan suojausominaisuuden ohitus |
Mielivaltaisen koodin suoritus |
Kriittinen |
Ei |
Kyllä |
PRODSECBUG-2769 |
CVE-2020-9692 |
Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.
Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:
- Edgar Boda-Majer (Bugscale) ja Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer (Bugscale) (CVE-2020-9692)