Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB20-41

Référence du bulletin

Date de publication

Priorité 

ASPB20-41

22 juin 2020      

2

Récapitulatif

Magento a publié des mises à jour pour Magento Commerce 1 et Magento Open Source 1. Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques.  L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

La prise en charge de Magento Commerce 1.14 et de Magento Open Source 1 prend fin en juin 2020.  Il s’agit des derniers correctifs de sécurité disponibles pour ces éditions.   

Remarque :

Magento Commerce 1 et Magento Open Source 1 sont respectivement les nouveaux noms de Magento Enterprise Edition et de Magento Community Edition.

Versions concernées

Produit

Version 

Plate-forme

Magento Commerce 1

Versions 1.14.4.5 et antérieures 

Toutes

Magento Open Source 1

Versions 1.9.4.5 et antérieures

Toutes

Remarque :

Ces vulnérabilités n’ont pas d’impact sur Magento Commerce ou Magento Open Source. 

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité

Disponibilité

Magento Commerce 1  

SUPEE-11346

Toutes

2

Mon compte > onglet « Téléchargements » > Magento Commerce 1.X > Magento Commerce 1.x > Correctifs de support et de sécurité > Correctifs de sécurité > Sécurité

Magento Open Source 1    

SUPEE-11346

Toutes

2

Page de téléchargement d’Open Source Magento > onglet « Archive des versions » > Correctifs d’Open Source Magento - Section 1.x

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Pré-authentification ?

Droits d’administration requis ?

ID de bogue Magento

Références CVE

Injection d’objet PHP

Exécution de code arbitraire

Critique

Non

Oui

PRODSECBUG-2758

CVE-2020-9664

Cross-site scripting (XSS) par stockage

Divulgation d’informations confidentielles

Importante

Non

Oui

PRODSECBUG-2759

CVE-2020-9665

Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

Remerciements

Adobe tient à remercier Luke Rodgers d’avoir signalé ces problèmes et joint ses efforts aux nôtres pour nous aider à protéger nos clients.

 

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?