Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Magento | APSB20-47

ID del boletín

Fecha de publicación

Prioridad

ASPB20-47

28 de julio de 2020      

2

Resumen

Magento ha publicado actualizaciones para Magento Commerce 2 (anteriormente conocido como Magento Enterprise Edition) y Magento Open Source 2 (anteriormente conocido como Magento Community Edition). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas.  Su explotación podría llevar a la ejecución arbitraria del código y a la omisión de verificación de la firma.





Versiones afectadas

Producto

Versión

Plataforma

Magento Commerce 2

2.3.5-p1 y versiones anteriores 

Todas

Magento Open Source 2

2.3.5-p1 y versiones anteriores

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.

Producto

Versión actualizada

Plataforma

Prioridad Nivel

Notas de la versión

Magento Commerce 2

2.4.0

Todas

2

Magento Open Source 2

2.4.0

Todas

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Todas

2

N/D

Magento Open Source 2

2.3.5-p2

Todas

2

N/D

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

¿Autenticación previa?

¿Se requieren privilegios administrativos?

ID del error de Magento

Números CVE

Path traversal

Ejecución de código arbitraria

Crítico

No

PRODSECBUG-2716 

CVE-2020-9689

Discrepancia de tiempo observable

Omisión de verificación de firma

Importante

No

PRODSECBUG-2726

CVE-2020-9690

Secuencia de comandos en sitios cruzados basada en DOM

Ejecución de código arbitraria

Importante

No

PRODSECBUG-2533 

CVE-2020-9691

Omisión de mitigación de seguridad 

Ejecución de código arbitraria

Crítico

No

PRODSECBUG-2769 

CVE-2020-9692 

Nota:

Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.   

Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre problemas importantes y colaborar con Adobe para ayudarnos a proteger a nuestros clientes:   

  • Edgar Boda-Majer de Bugscale y Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer de Bugscale (CVE-2020-9692)

Revisiones

Logotipo de Adobe

Inicia sesión en tu cuenta