Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Magento | APSB20-59

Référence du bulletin

Date de publication

Priorité 

APSB20-59

15 octobre 2020      

2

Récapitulatif

Magento a publié des mises à jour pour Magento Commerce et Magento Open Source.Ces mises à jour corrigent des vulnérabilités jugées importantes et critiques. L’exploitation réussie de cette vulnérabilité peut entraîner l’exécution de code arbitraire.    

Versions concernées

Produit

Version 

Plate-forme

Magento Commerce 

2.3.5-p1 et versions antérieures

Toutes

Magento Commerce 

2.3.5-p2 et versions antérieures  

Toutes

Magento Commerce 

2.4.0 et versions antérieures 

Toutes

Magento Open Source 

2.3.5-p1 et versions antérieures

Toutes

Magento Open Source 

2.3.5-p2 et versions antérieures

Toutes

Magento Open Source 

2.4.0 et versions antérieures 

Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version mise à jour

Plate-forme

Priorité

Notes de mise à jour

Magento Commerce 

2.4.1

Toutes

2

Magento Open Source 

2.4.1

Toutes

2

 

 

 

 

 

Magento Commerce 

2.3.6

Toutes

2

Magento Open Source 

2.3.6

Toutes

2

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité

Impact de la vulnérabilité

Gravité

Pré-authentification ?

Droits d’administration requis ?

ID de bogue Magento

Références CVE

Contournement de la liste des chargements de fichiers autorisés

Exécution de code arbitraire 

Critique 

Non

Oui

PRODSECBUG-2799

CVE-2020-24407

Injection SQL

Accès arbitraire en lecture ou en écriture à la base de données

Critique 

Non

Oui

PRODSECBUG-2779

CVE-2020-24400

Autorisation incorrecte

Modification non autorisée de la liste des clients

Important

Non

Oui

PRODSECBUG-2789

CVE-2020-24402

Invalidation insuffisante de la session utilisateur

Accès non autorisé aux ressources restreintes

Important

Non

Oui

PRODSECBUG-2785

CVE-2020-24401

Autorisation incorrecte

Modification non autorisée des pages CMS Magento

Important

Non

Oui

PRODSECBUG-2796

CVE-2020-24404

Divulgation d’informations confidentielles

Divulgation du chemin racine du document

Modéré

Non

Oui

PRODSECBUG-2798

CVE-2020-24406

Cross-site scripting (XSS stocké)

Exécution arbitraire de code JavaScript dans le navigateur

Important

Oui

Non

PRODSECBUG-2804

CVE-2020-24408

Autorisation incorrecte

Accès non autorisé aux ressources restreintes

Important

Non

Oui

PRODSECBUG-2797

CVE-2020-24405

Autorisation incorrecte

Accès non autorisé aux ressources restreintes

Important

Non

Oui

PRODSECBUG-2791

CVE-2020-24403

Remarque :

Pré-authentification : la vulnérabilité est exploitable sans informations d’identification.   

Droits d’administration requis : la vulnérabilité n’est exploitable que par un attaquant disposant de droits d’administration.  

D’autres descriptions techniques concernant les CVE spécifiées dans ce document seront disponibles sur les sites MITRE et NVD.

Mises à jour des dépendances

Dépendance

Impact de la vulnérabilité

Versions concernées

Chargement de fichier jQuery

Exécution de code arbitraire 

Versions 2.4.0 et antérieures 

TinyMCE

Exécution arbitraire de code JavaScript

Versions 2.4.0 et antérieures 

Remerciements

Adobe tient à remercier les personnes suivantes d’avoir signalé ces problèmes et de joindre leurs efforts aux siens pour assurer la sécurité de ses clients :   

  • Edgar Boda-Majer de Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Logo Adobe

Accéder à votre compte

[Feedback V2 Badge]