Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB20-02

Référence du bulletin

Date de publication

Priorité 

APSB20-02

 28 janvier 2020

2

Récapitulatif

Magento a publié des mises à jour pour les éditions Magento Commerce et Open Source.  Ces mises à jour corrigent plusieurs vulnérabilités critiques et importantes.  L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

Versions concernées

Produit

Version 

Plateforme

Magento Commerce 

2.3.3 et versions antérieures    

Toutes

Magento Open Source   

2.3.3 et versions antérieures    

Toutes

Magento Commerce 

2.2.10 et versions antérieures    

Toutes

Magento Open Source  

2.2.10 et versions antérieures    

Toutes

Magento Enterprise Edition    

1.14.4.3 et versions antérieures    

Toutes

Magento Community Edition   

1.9.4.3 et versions antérieures    

Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité

Disponibilité

Magento Commerce    

2.3.4

Toutes

2

Magento Open Source    

2.3.4

Toutes

2

Magento Commerce    

2.2.11

Toutes

2

Magento Open Source    

2.2.11

Toutes

2

Magento Enterprise Edition    

1.14.4.4

Toutes

2

Magento Community Edition    

1.9.4.4

Toutes

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

ID de bogue Magento

Références CVE

Cross-site scripting (XSS) par stockage    

Divulgation d’informations confidentielles    

Importante

PRODSECBUG-2543    

CVE-2020-3715    

Cross-site scripting (XSS) par stockage    

Divulgation d’informations confidentielles    

Important    

PRODSECBUG-2599

CVE-2020-3758

Désérialisation de données non approuvées    

Exécution de code arbitraire    

Critique    

PRODSECBUG-2579

CVE-2020-3716

Path traversal    

Divulgation d’informations confidentielles    

Important    

PRODSECBUG-2632

CVE-2020-3717

Contournement de sécurité    

Exécution de code arbitraire    

Critique    

PRODSECBUG-2633

CVE-2020-3718

Injection SQL    

Divulgation d’informations confidentielles    

Critique    

PRODSECBUG-2660

CVE-2020-3719

Remerciements

Adobe tient à remercier les personnes et sociétés suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :   

·       Ernesto Martin (CVE-2020-3715)

·       Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)

·       Luke Rodgers (CVE-2020-3719)

·       Djordje Marjanovic (CVE-2020-3758)

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?