Bollettino sulla sicurezza di Adobe

Aggiornamenti di sicurezza disponibili per Magento | APSB20-22

ID bollettino

Data di pubblicazione

Priorità

ASPB20-22

28 aprile 2020      

2

Riepilogo

Magento ha rilasciato aggiornamenti per le edizioni Magento Commerce e Open Source.  Questi aggiornamenti risolvono vulnerabilità critiche, importanti e moderate (valutazioni di gravità).  Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.    

Versioni interessate

Prodotto

Versione

Piattaforma

Magento Commerce 

2.3.4 e versioni precedenti    

Tutte

Magento Open Source   

2.3.4 e versioni precedenti    

Tutte

Magento Commerce 

2.2.11 e versioni precedenti (vedere nota)

Tutte

Magento Open Source  

2.2.11 e versioni precedenti (vedere nota)

Tutte

Magento Enterprise Edition    

1.14.4.4 e versioni precedenti    

Tutte

Magento Community Edition  

1.9.4.4 e versioni precedenti

Tutte

Nota:

Magento 2.2x ha raggiunto la fine del supporto il 31 dicembre 2019.

Soluzione

Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.

Prodotto

Versione

Piattaforma

Priorità Classificazione

Disponibilità

Magento Commerce    

2.3.4-p2

Tutte

2

Magento Open Source    

2.3.4-p2

Tutte

2

Magento Commerce    

2.3.5 p^1

Tutte

2

Magento Open Source    

2.3.5 p^1

Tutte

2

Magento Enterprise Edition    

1.14.4.5

Tutte

2

Magento Community Edition    

1.9.4.5

Tutte

2

Nota:

Magento Commerce 2.2.12 è disponibile esclusivamente per i clienti del settore del supporto esteso Commerce.

Dettagli della vulnerabilità

Categoria della vulnerabilità Impatto della vulnerabilità Gravità Pre-autenticazione? Sono necessari i privilegi di amministratore?

Magento Bug ID Codici CVE
Iniezione comando



Esecuzione di codice arbitrario



Critico



No PRODSECBUG-2707



CVE-2020-9576



Scripting memorizzato tra siti    



Divulgazione di informazioni riservate    



Importante



No PRODSECBUG-2671



CVE-2020-9577 



Iniezione comando



Esecuzione di codice arbitrario



Critico 



No PRODSECBUG-2695



CVE-2020-9578  



Aggiramento di un'attenuazione della sicurezza



Esecuzione di codice arbitrario



Critico



No







PRODSECBUG-2696



CVE-2020-9579
Aggiramento di un'attenuazione della sicurezza



Esecuzione di codice arbitrario Critico



No







PRODSECBUG-2697



CVE-2020-9580
Scripting memorizzato tra siti



Divulgazione di informazioni riservate



Importante



No







PRODSECBUG-2700



CVE-2020-9581
Iniezione comando



Esecuzione di codice arbitrario



Critico



No







PRODSECBUG-2708



CVE-2020-9582
Iniezione comando



Esecuzione di codice arbitrario



Critico



No







PRODSECBUG-2710



CVE-2020-9583
Scripting memorizzato tra siti



Divulgazione di informazioni riservate



Importante







No



PRODSECBUG-2715



CVE-2020-9584
Attenuazione della sicurezza Defense-in-depth



Esecuzione di codice arbitrario



Media



No







PRODSECBUG-2541



CVE-2020-9585
Attenuazione della sicurezza Defense-in-depth



Accesso non autorizzato al pannello di amministrazione



Media







MPERF-10898



CVE-2020-9591



Ignora autorizzazione



Sconti potenzialmente non autorizzati sui prodotti



Media







No



PRODSECBUG-2518



CVE-2020-9587



Discrepanza tempo osservabile Ignora verifica firma



Importante



No







PRODSECBUG-2677



CVE-2020-9588
Errore logica di business Acquisizione illecita di privilegi Importante No PRODSECBUG-2722 CVE-2020-9630
Aggiramento di un'attenuazione della sicurezza Esecuzione di codice arbitrario Critica No PRODSECBUG-2703 CVE-2020-9631
Aggiramento di un'attenuazione della sicurezza Esecuzione di codice arbitrario Critica No PRODSECBUG-2704 CVE-2020-9632
Nota:

1.     La vulnerabilità CVE-2020-9585 è attenuata nelle installazioni predefinite

2.     CVE-2020-9591 ha un impatto esclusivo su Magento 1

Nota:

Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.   

Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.  

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisioni

4 maggio 2020: Ricevuta rimossa per la vulnerabilità CVE-2020-9586.

7 maggio 2020: è stato aggiunto il riferimento alla vulnerabilità CVE-2020-9630, inavvertitamente omessa dalla versione originale. 

12 maggio 2020: Sono state aggiunte le vulnerabilità CVE-2020-9631 e CVE-2020-9632, inavvertitamente omesse dalla versione originale. 

Logo Adobe

Accedi al tuo account