Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB20-02
|
Publicatiedatum |
Prioriteit |
---|---|---|
APSB20-02 |
28 januari 2020 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce en Open Source edities. Deze updates lossen kritieke en belangrijke kwetsbaarheden op. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
Product |
Versie |
Platform |
---|---|---|
Magento Commerce |
2.3.3 en eerdere versies |
Alles |
Magento Open Source |
2.3.3 en eerdere versies |
Alles |
Magento Commerce |
2.2.10 en eerdere versies |
Alles |
Magento Open Source |
2.2.10 en eerdere versies |
Alles |
Magento Enterprise Edition |
1.14.4.3 en eerdere versies |
Alles |
Magento Community Edition |
1.9.4.3 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product |
Versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Alles |
2 |
|
Magento Open Source |
2.3.4 |
Alles |
2 |
|
Magento Commerce |
2.2.11 |
Alles |
2 |
|
Magento Open Source |
2.2.11 |
Alles |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Alles |
2 |
|
Magento Community Edition |
1.9.4.4 |
Alles |
2 |
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
Magento Bug ID |
CVE-nummers |
---|---|---|---|---|
Opgeslagen cross-site scripting |
Openbaarmaking van gevoelige informatie |
Belangrijk |
PRODSECBUG-2543 |
CVE-2020-3715 |
Opgeslagen cross-site scripting |
Openbaarmaking van gevoelige informatie |
Belangrijk |
PRODSECBUG-2599 |
CVE-2020-3758 |
Deserialisatie van onbetrouwbare data |
Willekeurige code-uitvoering |
Kritiek |
PRODSECBUG-2579 |
CVE-2020-3716 |
Path traversal |
Openbaarmaking van gevoelige informatie |
Belangrijk |
PRODSECBUG-2632 |
CVE-2020-3717 |
Omzeilen van de beveiliging |
Willekeurige code-uitvoering |
Kritiek |
PRODSECBUG-2633 |
CVE-2020-3718 |
SQL-injectie |
Openbaarmaking van gevoelige informatie |
Kritiek |
PRODSECBUG-2660 |
CVE-2020-3719 |
Dankbetuigingen
Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)