ID bollettino
Aggiornamenti di sicurezza disponibili per Magento | APSB20-22
|
Data di pubblicazione |
Priorità |
---|---|---|
ASPB20-22 |
28 aprile 2020 |
2 |
Riepilogo
Magento ha rilasciato aggiornamenti per le edizioni Magento Commerce e Open Source. Questi aggiornamenti risolvono vulnerabilità critiche, importanti e moderate (valutazioni di gravità). Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Versioni interessate
Prodotto |
Versione |
Piattaforma |
---|---|---|
Magento Commerce |
2.3.4 e versioni precedenti |
Tutte |
Magento Open Source |
2.3.4 e versioni precedenti |
Tutte |
Magento Commerce |
2.2.11 e versioni precedenti (vedere nota) |
Tutte |
Magento Open Source |
2.2.11 e versioni precedenti (vedere nota) |
Tutte |
Magento Enterprise Edition |
1.14.4.4 e versioni precedenti |
Tutte |
Magento Community Edition |
1.9.4.4 e versioni precedenti |
Tutte |
Magento 2.2x ha raggiunto la fine del supporto il 31 dicembre 2019.
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto |
Versione |
Piattaforma |
Priorità Classificazione |
Disponibilità |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Tutte |
2 |
|
Magento Open Source |
2.3.4-p2 |
Tutte |
2 |
|
Magento Commerce |
2.3.5 p^1 |
Tutte |
2 |
|
Magento Open Source |
2.3.5 p^1 |
Tutte |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Tutte |
2 |
|
Magento Community Edition |
1.9.4.5 |
Tutte |
2 |
Magento Commerce 2.2.12 è disponibile esclusivamente per i clienti del settore del supporto esteso Commerce.
Dettagli della vulnerabilità
1. La vulnerabilità CVE-2020-9585 è attenuata nelle installazioni predefinite
2. CVE-2020-9591 ha un impatto esclusivo su Magento 1
Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.
Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.
Ringraziamenti
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Revisioni
4 maggio 2020: Ricevuta rimossa per la vulnerabilità CVE-2020-9586.
7 maggio 2020: è stato aggiunto il riferimento alla vulnerabilità CVE-2020-9630, inavvertitamente omessa dalla versione originale.
12 maggio 2020: Sono state aggiunte le vulnerabilità CVE-2020-9631 e CVE-2020-9632, inavvertitamente omesse dalla versione originale.