Adoben tietoturvatiedote

Magenton tietoturvapäivitykset | APSB20-59

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB20-59

15. lokakuuta 2020

2

Yhteenveto

Magento on julkaissut päivityksiä Magento Commerce - ja Magento Open Source -versioita varten. Nämä päivitykset ratkaisevat tärkeitä ja kriittisiä haavoittuvuuksia. Haavoittuvuuksien onnistunut hyödyntäminen voi johtaa satunnaisten koodien suorittamiseen.    

Versiot, joita haavoittuvuus koskee

Tuote

Versio

Ympäristö

Magento Commerce 

2.3.5-p1 ja aiemmat versiot  

Kaikki

Magento Commerce 

2.3.5-p2 ja aiemmat versiot  

Kaikki

Magento Commerce 

2.4.0 ja aiemmat versiot 

Kaikki

Magento Open Source 

2.3.5-p1 ja aiemmat versiot

Kaikki

Magento Open Source 

2.3.5-p2 ja aiemmat versiot

Kaikki

Magento Open Source 

2.4.0 ja aiemmat versiot 

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Julkaisutiedot

Magento Commerce 

2.4.1

Kaikki

2

Magento Open Source 

2.4.1

Kaikki

2

 

 

 

 

 

Magento Commerce 

2.3.6

Kaikki

2

Magento Open Source 

2.3.6

Kaikki

2

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

Esitodennus?

Tarvitaan järjestelmänvalvojan oikeudet?

Magenton ohjelmavirheen tunnus

CVE-numerot

Tiedostojen lähetyksen sallittujen listan ohitus

Mielivaltaisen koodin suoritus 

Kriittinen 

Ei

Kyllä

PRODSECBUG-2799

CVE-2020-24407

SQL-injektio

Mielivaltaiset luku- tai kirjoitusoikeudet tietokantaan

Kriittinen 

Ei

Kyllä

PRODSECBUG-2779

CVE-2020-24400

Virheellinen valtuutus

Asiakasluettelon luvaton muutos

Tärkeä

Ei

Kyllä

PRODSECBUG-2789

CVE-2020-24402

Käyttäjäistunnon riittämätön mitätöinti

Rajoitettujen resurssien luvaton käyttö

Tärkeä

Ei

Kyllä

PRODSECBUG-2785

CVE-2020-24401

Virheellinen valtuutus

Magento CMS -sivujen luvaton muutos

Tärkeä

Ei

Kyllä

PRODSECBUG-2796

CVE-2020-24404

Arkaluonteisten tietojen paljastuminen

Dokumentin pääpolun paljastaminen

Kohtalainen

Ei

Kyllä

PRODSECBUG-2798

CVE-2020-24406

Sivustojen välinen skriptaus (tallennettu XSS)

Mielivaltainen JavaScriptin suoritus selaimessa

Tärkeä

Kyllä

Ei

PRODSECBUG-2804

CVE-2020-24408

Virheellinen valtuutus

Rajoitettujen resurssien luvaton käyttö

Tärkeä

Ei

Kyllä

PRODSECBUG-2797

CVE-2020-24405

Virheellinen valtuutus

Rajoitettujen resurssien luvaton käyttö

Tärkeä

Ei

Kyllä

PRODSECBUG-2791

CVE-2020-24403

Huomautus:

Esitodennus: haavoittuvutta voidaan hyödyntää ilman tunnistetietoja.   

Tarvitaan järjestelmänvalvojan oikeudet: haavoittuvuutta voi hyödyntää vain sellainen hyökkääjä, jolla on järjestelmänvalvojan oikeudet.  

Tässä dokumentissa viitattuihin CVE-artikkeleihin on saatavilla ylimääräisiä teknisiä kuvauksia MITRE- ja NVD-sivustoissa.

Riippuvuussuhteiden päivitykset

Riippuvuussuhde

Haavoittuvuuden vaikutus

Versiot

jQuery-tiedoston lähetys

Mielivaltaisen koodin suoritus 

2.4.0 ja aiemmat versiot 

TinyMCE

Mielivaltainen JavaScriptin suoritus

2.4.0 ja aiemmat versiot 

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden tietoturvan suojaamisessa:   

  • Edgar Boda-Majer (Bugscale) (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Adobe-logo

Kirjaudu sisään tiliisi