Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB20-41
|
Publicatiedatum |
Prioriteit |
---|---|---|
ASPB20-41 |
22 juni 2020 |
2 |
Samenvatting
Magento heeft updates uitgebracht voor Magento Commerce 1 en Magento Open Source 1. Deze updates verhelpen belangrijke en kritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Ondersteuning voor Magento Commerce 1.14 en Magento Open Source 1 eindigt in juni 2020. Dit zijn de laatste beveiligingspatches die voor deze edities beschikbaar zullen zijn.
Magento Commerce 1 heette eerder Magento Enterprise Edition en Magento Open Source 1 heette eerder Magento Community Edition.
Van toepassing op de volgende versies
Product |
Versie |
Platform |
---|---|---|
Magento Commerce 1 |
1.14.4.5 en eerdere versies |
Alles |
Magento Open Source 1 |
1.9.4.5 en eerdere versies |
Alles |
Deze kwetsbaarheden hebben geen invloed op Magento Commerce of Magento Open Source.
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product |
Versie |
Platform |
Prioriteitsbeoordeling |
Beschikbaarheid |
---|---|---|---|---|
Magento Commerce 1 |
SUPEE-11346 |
Alles |
2 |
Mijn account > Tabblad Downloads > Magento Commerce 1.X > Magento Commerce 1.x > Ondersteuning en beveiligingspatches > Beveiligingspatches > Beveiliging |
Magento Open Source 1 |
SUPEE-11346 |
Alles |
2 |
Downloadpagina voor Magento Open Source > Tabblad Release-archief > Patches voor Magento Open Source - gedeelte 1.x |
Details van kwetsbaarheid
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
Beheerdersrechten vereist? |
Magento Bug ID |
CVE-nummers |
|
---|---|---|---|---|---|---|
PHP-objectinjectie |
Willekeurige code-uitvoering |
Kritiek |
Nee |
Ja |
PRODSECBUG-2758 |
CVE-2020-9664 |
Opgeslagen XSS (cross-site scripting) |
Openbaarmaking van gevoelige informatie |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2759 |
CVE-2020-9665 |
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Dankbetuigingen
Adobe bedankt Luke Rodgers voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen.