Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Magento | APSB20-22

Bulletin-id

Publicatiedatum

Prioriteit

ASPB20-22

28 april 2020

2

Samenvatting

Magento heeft updates uitgebracht voor Magento Commerce en Open Source edities.Deze updates verhelpen kritieke, belangrijke en gemiddelde kwetsbaarheden (graadmeter voor ernstige problemen).  Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.    

Van toepassing op de volgende versies

Product

Versie

Platform

Magento Commerce 

2.3.4 en eerdere versies    

Alles

Magento Open Source   

2.3.4 en eerdere versies    

Alles

Magento Commerce 

2.2.11 en eerdere versies (zie opmerking)

Alles

Magento Open Source  

2.2.11 en eerdere versies (zie opmerking)

Alles

Magento Enterprise Edition    

1.14.4.4 en eerdere versies    

Alles

Magento Community Edition  

1.9.4.4 en eerdere versies

Alles

Opmerking:

Magento 2.2x wordt sinds 31 december 2019 niet meer ondersteund.

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.

Product

Versie

Platform

Prioriteitsbeoordeling

Beschikbaarheid

Magento Commerce    

2.3.4-p2

Alles

2

Magento Open Source    

2.3.4-p2

Alles

2

Magento Commerce    

2.3.5-p1

Alles

2

Magento Open Source    

2.3.5-p1

Alles

2

Magento Enterprise Edition    

1.14.4.5

Alles

2

Magento Community Edition    

1.9.4.5

Alles

2

Opmerking:

Magento Commerce 2.2.12 is exclusief beschikbaar voor klanten met uitgebreide ondersteuning voor Commerce.

Details van kwetsbaarheid

Categorie van kwetsbaarheid Impact van kwetsbaarheid Ernst Verificatie vooraf? Beheerdersrechten vereist?

Magento Bug ID CVE-nummers
Opdrachtinjectie



Uitvoering van willekeurige code



Kritiek



Nee Ja PRODSECBUG-2707



CVE-2020-9576



Opgeslagen cross-site scripting    



Openbaarmaking van gevoelige informatie    



Belangrijk Ja



Nee PRODSECBUG-2671



CVE-2020-9577 



Opdrachtinjectie



Uitvoering van willekeurige code



Kritiek 



Nee Ja PRODSECBUG-2695



CVE-2020-9578  



Omzeiling van beveiligingsbeperking



Uitvoering van willekeurige code



Kritiek



Nee



Ja



PRODSECBUG-2696



CVE-2020-9579
Omzeiling van beveiligingsbeperking



Uitvoering van willekeurige code Kritiek



Nee



Ja



PRODSECBUG-2697



CVE-2020-9580
Opgeslagen cross-site scripting



Openbaarmaking van gevoelige informatie



Belangrijk



Nee



Ja



PRODSECBUG-2700



CVE-2020-9581
Opdrachtinjectie



Uitvoering van willekeurige code



Kritiek



Nee



Ja



PRODSECBUG-2708



CVE-2020-9582
Opdrachtinjectie



Uitvoering van willekeurige code



Kritiek



Nee



Ja



PRODSECBUG-2710



CVE-2020-9583
Opgeslagen cross-site scripting



Openbaarmaking van gevoelige informatie



Belangrijk



Ja



Nee



PRODSECBUG-2715



CVE-2020-9584
Beveiligingsbeperking uitgebreide verdediging



Uitvoering van willekeurige code



Gemiddeld



Nee



Ja



PRODSECBUG-2541



CVE-2020-9585
Beveiligingsbeperking uitgebreide verdediging



Ongeautoriseerde toegang tot beheerdersvenster



Gemiddeld



Ja Ja



MPERF-10898



CVE-2020-9591



Omzeilen van de verificatie



Mogelijk ongeautoriseerde kortingen voor producten



Gemiddeld



Ja



Nee



PRODSECBUG-2518



CVE-2020-9587



Observeerbaar timingverschil Omzeiling van de verificatie met handtekening



Belangrijk



Nee



Ja



PRODSECBUG-2677



CVE-2020-9588
Business logic error Bevoegdhedenescalatie Belangrijk Nee Ja PRODSECBUG-2722 CVE-2020-9630
Omzeiling van beveiligingsbeperking Willekeurige code-uitvoering Kritiek Nee Ja PRODSECBUG-2703 CVE-2020-9631
Omzeiling van beveiligingsbeperking Willekeurige code-uitvoering Kritiek Nee Ja PRODSECBUG-2704 CVE-2020-9632
Opmerking:

1.     CVE-2020-9585 is beperkt bij standaard installaties

2.     CVE-2020-9591 heeft exclusief invloed op Magento 1

Opmerking:

Verificatie vooraf:  Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.   

Beheerdersrechten vereist:  Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.  

Dankbetuigingen

Adobe bedankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om onze klanten te helpen beschermen:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisies

4 mei 2020: Dankbetuiging verwijderd voor CVE-2020-9586.

7 mei 2020: CVE-2020-9630 toegevoegd: deze was abusievelijk weggelaten in de oorspronkelijke versie. 

12 mei 2020: CVE-2020-9631 en CVE-2020-9632 toegevoegd: deze waren abusievelijk weggelaten in de oorspronkelijke versie. 

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online