Adobe-Sicherheitsbulletin

Sicherheits-Updates für Magento verfügbar | APSB20-47

Bulletin-ID

Veröffentlichungsdatum

Priorität

ASPB20-47

28. Juli 2020      

2

Zusammenfassung

Magento hat Updates für Magento Commerce 2 (früher Magento Enterprise Edition) und Magento Open Source 2 (früher Magento Community Edition) veröffentlicht. Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte dazu führen, dass Code beliebig ausgeführt und die Signaturverifizierung umgangen wird.





Betroffene Versionen

Produkt

Version

Plattform

Magento Commerce 2

2.3.5-p1 und frühere Versionen 

Alle

Magento Open Source 2

2.3.5-p1 und frühere Versionen

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt

Aktualisierte Version

Plattform

Priorität

Versionshinweise

Magento Commerce 2

2.4.0

Alle

2

Magento Open Source 2

2.4.0

Alle

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Alle

2

Magento Open Source 2

2.3.5-p2

Alle

2

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

Vorauthentifizierung?

Sind Administratorrechte erforderlich?

Magento-Fehler-ID

CVE-Nummern

Path Traversal

Willkürliche Ausführung von Code

Kritisch

Nein

Ja

PRODSECBUG-2716 

CVE-2020-9689

Beobachtbare Zeitunterschiede

Umgehung der Signaturüberprüfung

Wichtig

Nein

Ja

PRODSECBUG-2726

CVE-2020-9690

DOM-basiertes Cross-Site-Scripting

Willkürliche Ausführung von Code

Wichtig

Ja

Nein

PRODSECBUG-2533 

CVE-2020-9691

Umgehung der Sicherheitsschwachstellen 

Willkürliche Ausführung von Code

Kritisch

Nein

Ja

PRODSECBUG-2769 

CVE-2020-9692 

Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Edgar Boda-Majer von Bugscale und Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer von Bugscale (CVE-2020-9692)

Überarbeitungen

Adobe-Logo

Bei Ihrem Konto anmelden