Adobe-Sicherheitsbulletin

Sicherheits-Updates für Magento verfügbar | APSB20-59

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB20-59

15. Oktober 2020      

2

Zusammenfassung

Magento hat Updates für Magento Commerce und Magento Open Source veröffentlicht.Diese Updates beheben Schwachstellen, die als wichtig und kritisch eingestuft wurden. Eine erfolgreiche Ausnutzung könnte zu willkürlicher Ausführung von Code führen.    

Betroffene Versionen

Produkt

Version

Plattform

Magento Commerce 

2.3.5-p1 und frühere Versionen

Alle

Magento Commerce 

2.3.5-p2 und frühere Versionen  

Alle

Magento Commerce 

2.4.0 und frühere Versionen 

Alle

Magento Open Source 

2.3.5-p1 und frühere Versionen

Alle

Magento Open Source 

2.3.5-p2 und frühere Versionen

Alle

Magento Open Source 

2.4.0 und frühere Versionen 

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt

Aktualisierte Version

Plattform

Priorität

Versionshinweise

Magento Commerce 

2.4.1

Alle

2

Magento Open Source 

2.4.1

Alle

2

 

 

 

 

 

Magento Commerce 

2.3.6

Alle

2

Magento Open Source 

2.3.6

Alle

2

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

Vorauthentifizierung?

Sind Administratorrechte erforderlich?

Magento-Fehler-ID

CVE-Nummern

Umgehung der Dateiuploads-Zulassungsliste

Willkürliche Ausführung von Code 

Kritisch 

Nein

Ja

PRODSECBUG-2799

CVE-2020-24407

SQL-Injektion

Willkürlicher Lese- oder Schreibzugriff auf die Datenbank

Kritisch 

Nein

Ja

PRODSECBUG-2779

CVE-2020-24400

Unzulässige Autorisierung

Unberechtigte Änderung der Kundenliste

Wichtig

Nein

Ja

PRODSECBUG-2789

CVE-2020-24402

Unzureichende Aufhebung der Benutzersitzung

Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen

Wichtig

Nein

Ja

PRODSECBUG-2785

CVE-2020-24401

Unzulässige Autorisierung

Unberechtigte Änderung von Magento CMS-Seiten

Wichtig

Nein

Ja

PRODSECBUG-2796

CVE-2020-24404

Offenlegung vertraulicher Informationen

Anzeigen des Dokumentstammpfads

Mittel

Nein

Ja

PRODSECBUG-2798

CVE-2020-24406

Cross-Site-Scripting (beständiges XSS)

Willkürliche JavaScript-Ausführung im Browser

Wichtig

Ja

Nein

PRODSECBUG-2804

CVE-2020-24408

Unzulässige Autorisierung

Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen

Wichtig

Nein

Ja

PRODSECBUG-2797

CVE-2020-24405

Unzulässige Autorisierung

Unberechtigter Zugriff auf zugriffsbeschränkte Ressourcen

Wichtig

Nein

Ja

PRODSECBUG-2791

CVE-2020-24403

Hinweis:

Vorauthentifizierung:  Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden.   

Administratorrechte erforderlich:  Die Schwachstelle kann nur von einem Angreifer mit Administratorrechten ausgenutzt werden.  

Zusätzliche technische Beschreibungen der in diesem Dokument genannten CVEs werden auf den MITRE- und NVD-Webseiten bereitgestellt.

Updates für Abhängigkeiten

Abhängigkeit

Sicherheitslückenauswirkung

Betroffene Versionen

jQuery Dateiupload

Willkürliche Ausführung von Code 

2.4.0 und frühere Versionen 

TinyMCE

Willkürliche JavaScript-Ausführung

2.4.0 und frühere Versionen 

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:   

  • Edgar Boda-Majer von Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406)
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?