ID del boletín
Actualizaciones de seguridad disponibles para Magento | APSB20-22
|
Fecha de publicación |
Prioridad |
---|---|---|
ASPB20-22 |
28 de abril de 2020 |
2 |
Resumen
Magento ha publicado actualizaciones para sus ediciones Commerce y Open Source. Estas actualizaciones solucionan vulnerabilidades clasificadas como críticas, importantes y moderadas (clasificaciones de gravedad). Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.
Versiones afectadas
Producto |
Versión |
Plataforma |
---|---|---|
Magento Commerce |
2.3.4 y versiones anteriores |
Todas |
Magento Open Source |
2.3.4 y versiones anteriores |
Todas |
Magento Commerce |
2.2.11 y versiones anteriores (consulte la nota) |
Todas |
Magento Open Source |
2.2.11 y versiones anteriores (consulte la nota) |
Todas |
Magento Enterprise Edition |
1.14.4.4 y versiones anteriores |
Todas |
Magento Community Edition |
1.9.4.4 y versiones anteriores |
Todas |
Magento 2.2x quedó obsoleto el 31 de diciembre de 2019.
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Producto |
Versión |
Plataforma |
Prioridad Nivel |
Disponibilidad |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Todas |
2 |
|
Magento Open Source |
2.3.4-p2 |
Todas |
2 |
|
Magento Commerce |
2.3.5-p1 |
Todas |
2 |
|
Magento Open Source |
2.3.5-p1 |
Todas |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Todas |
2 |
|
Magento Community Edition |
1.9.4.5 |
Todas |
2 |
Magento Commerce 2.2.12 está disponible exclusivamente para clientes de Commerce con soporte ampliado.
Detalles sobre la vulnerabilidad
1. CVE-2020-9585 se mitiga en instalaciones predeterminadas
2. CVE-2020-9591 afecta exclusivamente a Magento 1
Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.
Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Revisiones
4 de mayo de 2020: se eliminó el reconocimiento para CVE-2020-9586.
7 de mayo de 2020: se añadió CVE-2020-9630, que se había omitido por error de la versión original.
12 de mayo de 2020: se añadieron CVE-2020-9631 y CVE-2020-9632, que se habían omitido por error de la versión original.