ID del boletín
Actualizaciones de seguridad disponibles para Magento | APSB20-47
|
Fecha de publicación |
Prioridad |
---|---|---|
ASPB20-47 |
28 de julio de 2020 |
2 |
Resumen
Magento ha publicado actualizaciones para Magento Commerce 2 (anteriormente conocido como Magento Enterprise Edition) y Magento Open Source 2 (anteriormente conocido como Magento Community Edition). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas. Su explotación podría llevar a la ejecución arbitraria del código y a la omisión de verificación de la firma.
Versiones afectadas
Producto |
Versión |
Plataforma |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 y versiones anteriores |
Todas |
Magento Open Source 2 |
2.3.5-p1 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Producto |
Versión actualizada |
Plataforma |
Prioridad Nivel |
Notas de la versión |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Todas |
2 |
|
Magento Open Source 2 |
2.4.0 |
Todas |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Todas |
2 |
N/D |
Magento Open Source 2 |
2.3.5-p2 |
Todas |
2 |
N/D |
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
¿Se requieren privilegios administrativos? |
ID del error de Magento |
Números CVE |
|
---|---|---|---|---|---|---|
Path traversal |
Ejecución de código arbitraria |
Crítico |
No |
Sí |
PRODSECBUG-2716 |
CVE-2020-9689 |
Discrepancia de tiempo observable |
Omisión de verificación de firma |
Importante |
No |
Sí |
PRODSECBUG-2726 |
CVE-2020-9690 |
Secuencia de comandos en sitios cruzados basada en DOM |
Ejecución de código arbitraria |
Importante |
Sí |
No |
PRODSECBUG-2533 |
CVE-2020-9691 |
Omisión de mitigación de seguridad |
Ejecución de código arbitraria |
Crítico |
No |
Sí |
PRODSECBUG-2769 |
CVE-2020-9692 |
Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.
Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:
- Edgar Boda-Majer de Bugscale y Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer de Bugscale (CVE-2020-9692)