Adobe セキュリティ速報

Magento に関するセキュリティアップデート公開 | APSB20-47

情報 ID

公開日

優先度

ASPB20-47

2020 年 7 月 28 日      

2

要約

Magento は、Magento Commerce 2 (旧Magento Enterprise 版)およびMagento Open Source 2 (旧Magentoコミュニティ版)用のアップデートをリリースしました。これらのアップデートは、重要およびクリティカルに分類される脆弱性を解消します。悪用が成功すると、任意のコード実行と署名検証の迂回が発生する可能性があります。





影響を受けるバージョン

製品名

バージョン

プラットフォーム

Magento Commerce 2

2.3.5-p1 以前のバージョン 

すべて

Magento Open Source 2

2.3.5-p1 以前のバージョン

すべて

解決策

アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

更新後のバージョン

プラットフォーム

優先度評価

リリースノート

Magento Commerce 2

2.4.0

すべて

2

Magento Open Source 2

2.4.0

すべて

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

すべて

2

Magento Open Source 2

2.3.5-p2

すべて

2

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

事前認証?

管理者権限が必要ですか?

Magento Bug ID

CVE 番号

パストラバーサル

任意のコード実行

クリティカル

いいえ

はい

PRODSECBUG-2716 

CVE-2020-9689

目に見えるタイミングの違い

署名認証バイパス

重要

いいえ

はい

PRODSECBUG-2726

CVE-2020-9690

DOM ベースのクロスサイトスクリプティング

任意のコード実行

重要

はい

いいえ

PRODSECBUG-2533 

CVE-2020-9691

セキュリティ軽減バイパス 

任意のコード実行

クリティカル

いいえ

はい

PRODSECBUG-2769 

CVE-2020-9692 

注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Bugscale および BlaklisのEdgar Boda-Majer 氏(CVE-2020-9689)
  • Wasin Sae-ngow 氏(CVE-2020-9690)
  • Linus Sarud 氏(CVE-2020-9691)
  • Bugscale の Edgar Boda-Majer 氏(CVE-2020-9692)

更新履歴

アドビのロゴ

アカウントにログイン