Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB20-22
|
Publicatiedatum |
Prioriteit |
---|---|---|
ASPB20-22 |
28 april 2020 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce en Open Source edities.Deze updates verhelpen kritieke, belangrijke en gemiddelde kwetsbaarheden (graadmeter voor ernstige problemen). Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Van toepassing op de volgende versies
Product |
Versie |
Platform |
---|---|---|
Magento Commerce |
2.3.4 en eerdere versies |
Alles |
Magento Open Source |
2.3.4 en eerdere versies |
Alles |
Magento Commerce |
2.2.11 en eerdere versies (zie opmerking) |
Alles |
Magento Open Source |
2.2.11 en eerdere versies (zie opmerking) |
Alles |
Magento Enterprise Edition |
1.14.4.4 en eerdere versies |
Alles |
Magento Community Edition |
1.9.4.4 en eerdere versies |
Alles |
Magento 2.2x wordt sinds 31 december 2019 niet meer ondersteund.
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product |
Versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Alles |
2 |
|
Magento Open Source |
2.3.4-p2 |
Alles |
2 |
|
Magento Commerce |
2.3.5-p1 |
Alles |
2 |
|
Magento Open Source |
2.3.5-p1 |
Alles |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Alles |
2 |
|
Magento Community Edition |
1.9.4.5 |
Alles |
2 |
Magento Commerce 2.2.12 is exclusief beschikbaar voor klanten met uitgebreide ondersteuning voor Commerce.
Details van kwetsbaarheid
1. CVE-2020-9585 is beperkt bij standaard installaties
2. CVE-2020-9591 heeft exclusief invloed op Magento 1
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Dankbetuigingen
Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Revisies
4 mei 2020: Dankbetuiging verwijderd voor CVE-2020-9586.
7 mei 2020: CVE-2020-9630 toegevoegd: deze was abusievelijk weggelaten in de oorspronkelijke versie.
12 mei 2020: CVE-2020-9631 en CVE-2020-9632 toegevoegd: deze waren abusievelijk weggelaten in de oorspronkelijke versie.