게시판 ID
Magento에 사용할 수 있는 보안 업데이트 | APSB20-59
|
게시 날짜 |
우선 순위 |
---|---|---|
APSB20-59 |
2020년 10월 15일 |
2 |
요약
해당 버전
제품 |
버전 |
플랫폼 |
---|---|---|
Magento Commerce |
2.3.5-p1 및 이전 버전 |
모두 |
Magento Commerce |
2.3.5-p2 및 이전 버전 |
모두 |
Magento Commerce |
2.4.0 및 이전 버전 |
모두 |
Magento Open Source |
2.3.5-p1 및 이전 버전 |
모두 |
Magento Open Source |
2.3.5-p2 및 이전 버전 |
모두 |
Magento Open Source |
2.4.0 및 이전 버전 |
모두 |
해결 방법
Adobe는 이러한 업데이트를 다음과 같은 우선 순위 등급으로 분류하고 사용자가 최신 버전으로 업데이트할 것을 권장합니다.
제품 |
업데이트 버전 |
플랫폼 |
우선 순위 등급 |
릴리스 정보 |
---|---|---|---|---|
Magento Commerce |
2.4.1 |
모두 |
2 |
|
Magento Open Source |
2.4.1 |
모두 |
2 |
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
모두 |
2 |
|
Magento Open Source |
2.3.6 |
모두 |
2 |
취약성 세부 정보
취약점 카테고리 |
취약성 영향 |
심각도 |
관리자 권한이 필요합니까? |
Magento 버그 ID |
CVE 번호 |
|
---|---|---|---|---|---|---|
파일 업로드 허용 목록 무시 |
임의 코드 실행 |
치명적 |
아니요 |
예 |
PRODSECBUG-2799 |
CVE-2020-24407 |
SQL 주입 |
데이터베이스에 대한 임의 읽기 또는 쓰기 액세스 |
치명적 |
아니요 |
예 |
PRODSECBUG-2779 |
CVE-2020-24400 |
부적절한 권한 부여 |
고객 목록의 무단 수정 |
중요 |
아니요 |
예 |
PRODSECBUG-2789 |
CVE-2020-24402 |
사용자 세션의 무효화가 충분하지 않음 |
제한된 리소스에 대한 무단 액세스 |
중요 |
아니요 |
예 |
PRODSECBUG-2785 |
CVE-2020-24401 |
부적절한 권한 부여 |
Magento CMS 페이지의 무단 수정 |
중요 |
아니요 |
예 |
PRODSECBUG-2796 |
CVE-2020-24404 |
민감한 정보 노출 |
문서 루트 경로 공개 |
보통 |
아니요 |
예 |
PRODSECBUG-2798 |
CVE-2020-24406 |
크로스 사이트 스크립팅(저장된 XSS) |
브라우저에서 임의 JavaScript 실행 |
중요 |
예 |
아니요 |
PRODSECBUG-2804 |
CVE-2020-24408 |
부적절한 권한 부여 |
제한된 리소스에 대한 무단 액세스 |
중요 |
아니요 |
예 |
PRODSECBUG-2797 |
CVE-2020-24405 |
부적절한 권한 부여 |
제한된 리소스에 대한 무단 액세스 |
중요 |
아니요 |
예 |
PRODSECBUG-2791 |
CVE-2020-24403 |
종속성 업데이트
종속성 |
취약성 영향 |
해당하는 버전 |
---|---|---|
jQuery 파일 업로드 |
임의 코드 실행 |
2.4.0 및 이전 버전 |
TinyMCE |
임의 JavaScript 실행 |
2.4.0 및 이전 버전 |
감사의 말
Adobe는 관련 문제를 보고하여 Adobe 고객의 보안 유지에 도움을 주신 다음 분들께 감사의 말씀을 전합니다.
- Bugscale의 Edgar Boda-Maxer(CVE-2020-24408)
- Kien Hoang(CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv(CVE-2020-24406)
- Malerisch(CVE-2020-24407)
- Dang Toan(CVE-2020-24403)
- Yonatan Offek(CVE-2020-24400)