Adobe セキュリティ速報

Magento に関するセキュリティアップデート公開 | APSB20-41

情報 ID

公開日

優先度

ASPB20-41

2020 年 6 月 22 日      

2

要約

Magento Commerce 1 および Magento Open Source 1 のアップデートが公開されました。これらのアップデートは、重要およびクリティカルに分類される脆弱性を解消します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。

Magento Commerce 1.14 と Magento Open Source 1 のサポートは 2020 年 6 月に終了します。 これは、これらのエディションで利用可能な最終的なセキュリティパッチとなります。   

注意:

Magento Commerce 1 は旧称 Magento Enterprise Edition、Magento Open Source 1 は旧称 Magento Community Edition です。

影響を受けるバージョン

製品名

バージョン

プラットフォーム

Magento Commerce 1

1.14.4.5 とそれ以前のバージョン 

すべて

Magento Open Source 1

1.9.4.5 とそれ以前のバージョン

すべて

注意:

これらの脆弱性は、Magento Commerce や Magento Open Source には影響しません。

解決策

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度レート

入手方法

Magento Commerce 1  

SUPEE-11346

すべて

2

マイアカウント/「ダウンロード」タブ/Magento Commerce 1.X/Magento Commerce 1.x/サポートおよびセキュリティパッチ/セキュリティパッチ/セキュリティ

Magento Open Source 1    

SUPEE-11346

すべて

2

Magento Open Source ダウンロードページ/「リリースアーカイブ」タブ/Magento Open Source パッチ - 1.x セクション

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

事前認証?

管理者権限が必要ですか?

Magento Bug ID

CVE 番号

PHP オブジェクトの挿入

任意のコード実行

クリティカル

いいえ

はい

PRODSECBUG-2758

CVE-2020-9664

保存されたクロスサイトスクリプティング

機密情報漏えい

重要

いいえ

はい

PRODSECBUG-2759

CVE-2020-9665

注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

謝辞

これらの問題を報告し、ユーザーの保護にご協力いただいた Luke Rodgers 氏に対し、アドビより厚く御礼を申し上げます。

 

アドビのロゴ

アカウントにログイン