ID bollettino
Aggiornamenti di sicurezza disponibili per Magento | APSB20-02
|
Data di pubblicazione |
Priorità |
---|---|---|
APSB20-02 |
28 gennaio 2020 |
2 |
Riepilogo
Magento ha rilasciato aggiornamenti per le edizioni Magento Commerce e Open Source. Questi aggiornamenti risolvono vulnerabilità critiche e importanti. Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Versioni interessate
Prodotto |
Versione |
Piattaforma |
---|---|---|
Magento Commerce |
2.3.3 e versioni precedenti |
Tutte |
Magento Open Source |
2.3.3 e versioni precedenti |
Tutte |
Magento Commerce |
2.2.10 e versioni precedenti |
Tutte |
Magento Open Source |
2.2.10 e versioni precedenti |
Tutte |
Magento Enterprise Edition |
1.14.4.3 e versioni precedenti |
Tutte |
Magento Community Edition |
1.9.4.3 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto |
Versione |
Piattaforma |
Priorità Classificazione |
Disponibilità |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Tutte |
2 |
|
Magento Open Source |
2.3.4 |
Tutte |
2 |
|
Magento Commerce |
2.2.11 |
Tutte |
2 |
|
Magento Open Source |
2.2.11 |
Tutte |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Tutte |
2 |
|
Magento Community Edition |
1.9.4.4 |
Tutte |
2 |
Dettagli della vulnerabilità
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Magento Bug ID |
Codici CVE |
---|---|---|---|---|
Scripting memorizzato tra siti |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2543 |
CVE-2020-3715 |
Scripting memorizzato tra siti |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2599 |
CVE-2020-3758 |
Deserializzazione di dati non affidabili |
Esecuzione di codice arbitrario |
Critica |
PRODSECBUG-2579 |
CVE-2020-3716 |
Path traversal |
Divulgazione di informazioni riservate |
Importante |
PRODSECBUG-2632 |
CVE-2020-3717 |
Aggiramento della protezione |
Esecuzione di codice arbitrario |
Critica |
PRODSECBUG-2633 |
CVE-2020-3718 |
Iniezione SQL |
Divulgazione di informazioni riservate |
Critica |
PRODSECBUG-2660 |
CVE-2020-3719 |
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)