Adobe セキュリティ速報

Magento に関するセキュリティアップデート公開 | APSB20-59

情報 ID

公開日

優先度

APSB20-59

2020 年 10 月 15 日      

2

要約

Magento Commerce および Magento Open Source のアップデートが公開されました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。    

影響を受けるバージョン

製品名

バージョン

プラットフォーム

Magento Commerce 

2.3.5-p1 以前のバージョン

すべて

Magento Commerce 

2.3.5-p2 以前のバージョン  

すべて

Magento Commerce 

2.4.0 以前のバージョン 

すべて

Magento オープンソース 

2.3.5-p1 以前のバージョン

すべて

Magento オープンソース 

2.3.5-p2 以前のバージョン

すべて

Magento オープンソース 

2.4.0 以前のバージョン 

すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

更新後のバージョン

プラットフォーム

優先度評価

リリースノート

Magento Commerce 

2.4.1

すべて

2

Magento オープンソース 

2.4.1

すべて

2

 

 

 

 

 

Magento Commerce 

2.3.6

すべて

2

Magento オープンソース 

2.3.6

すべて

2

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

事前認証?

管理者権限が必要ですか?

Magento Bug ID

CVE 番号

ファイルアップロード許可リストバイパス

任意のコード実行 

クリティカル 

いいえ

はい

PRODSECBUG-2799

CVE-2020-24407

SQL インジェクション

データベースへの任意の読み取り/書き込みアクセス

クリティカル 

いいえ

はい

PRODSECBUG-2779

CVE-2020-24400

不適切な認証

顧客リストの不正変更

重要

いいえ

はい

PRODSECBUG-2789

CVE-2020-24402

ユーザーセッションの無効化の不備

制限されたリソースへの不正アクセス

重要

いいえ

はい

PRODSECBUG-2785

CVE-2020-24401

不適切な認証

Magento CMS ページの不正な改変

重要

いいえ

はい

PRODSECBUG-2796

CVE-2020-24404

機密情報漏えい

ドキュメントルートパスの開示

中度

いいえ

はい

PRODSECBUG-2798

CVE-2020-24406

クロスサイトスクリプティング(保存済み XSS)

ブラウザーでの任意の JavaScript 実行

重要

はい

いいえ

PRODSECBUG-2804

CVE-2020-24408

不適切な認証

制限されたリソースへの不正アクセス

重要

いいえ

はい

PRODSECBUG-2797

CVE-2020-24405

不適切な認証

制限されたリソースへの不正アクセス

重要

いいえ

はい

PRODSECBUG-2791

CVE-2020-24403

注意:

事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

依存関係の更新

依存関係

脆弱性の影響

対象のバージョン

jQuery ファイルのアップロード

任意のコード実行 

2.4.0 以前のバージョン 

TinyMCE

任意の JavaScript 実行

2.4.0 以前のバージョン 

謝辞

一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。

  • Edgar Boda-Bugscale の Majer 氏(CVE-2020-24408) 
  • Kien Hoang 氏(CVE-2020-24402、CVE-2020-24401、CVE-2020-24404、CVE-2020-24405)
  • Ihorsv 氏(CVE-2020-24406)
  • Malerisch 氏(CVE-2020-24407)
  • Dang Toan 氏(CVE-2020-24403)
  • Yonatan Offek 氏(CVE-2020-24400)
アドビのロゴ

アカウントにログイン