ID bollettino
Aggiornamenti di sicurezza disponibili per Magento | APSB20-41
|
Data di pubblicazione |
Priorità |
---|---|---|
ASPB20-41 |
22 giugno 2020 |
2 |
Riepilogo
Sono stati rilasciati aggiornamenti per Magento Commerce 1 e Magento Open Source 1. Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche . Un eventuale sfruttamento potrebbe provocare l'esecuzione di codice arbitrario.
Il supporto per Magento Commerce 1.14 e Magento Open Source 1 terminerà nel giugno 2020. Queste saranno le ultime patch di sicurezza disponibili per le suddette edizioni.
Magento Commerce 1 in precedenza era chiamato Magento Enterprise Edition, mentre Magento Open Source 1 in precedenza era chiamato Magento Community Edition.
Versioni interessate
Prodotto |
Versione |
Piattaforma |
---|---|---|
Magento Commerce 1 |
1.14.4.5 e versioni precedenti |
Tutte |
Magento Open Source 1 |
1.9.4.5 e versioni precedenti |
Tutte |
Queste vulnerabilità non hanno alcun impatto su Magento Commerce o Magento Open Source.
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Prodotto |
Versione |
Piattaforma |
Priorità Classificazione |
Disponibilità |
---|---|---|---|---|
Magento Commerce 1 |
SUPEE-11346 |
Tutte |
2 |
Il mio account > Scheda Download > Magento Commerce 1.X > Magento Commerce 1.x > Patch di supporto e sicurezza > Patch di sicurezza > Sicurezza |
Magento Open Source 1 |
SUPEE-11346 |
Tutte |
2 |
Pagina di download di Magento Open Source > Scheda Archivio release > Patch Magento Open Source - Sezione 1.x |
Dettagli della vulnerabilità
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Sono necessari i privilegi di amministratore? |
Magento Bug ID |
Codici CVE |
|
---|---|---|---|---|---|---|
Inserimento oggetti PHP |
Esecuzione di codice arbitrario |
Critica |
No |
Sì |
PRODSECBUG-2758 |
CVE-2020-9664 |
Scripting memorizzato tra siti |
Divulgazione di informazioni riservate |
Importante |
No |
Sì |
PRODSECBUG-2759 |
CVE-2020-9665 |
Pre-autenticazione: la vulnerabilità è sfruttabile senza credenziali.
Privilegi di amministratore richiesti: la vulnerabilità è sfruttabile solo da un aggressore con privilegi amministrativi.
Ringraziamenti
Adobe desdiera ringraziare Luke Rodgers per la collaborazione e per aver segnalato il problema, contribuendo a proteggere la sicurezza dei nostri clienti.