Bulletin-id
Beveiligingsupdates beschikbaar voor Magento | APSB20-59
Bulletin-id |
Publicatiedatum |
Prioriteit |
---|---|---|
APSB20-59 |
15 oktober 2020 |
2 |
Magento heeft updates uitgebracht voor Magento Commerce en Magento Open Source.Deze updates verhelpen belangrijke enkritieke kwetsbaarheden. Succesvolle exploitatie kan leiden tot uitvoering van willekeurige code.
Product |
Versie |
Platform |
---|---|---|
Magento Commerce |
2.3.5-p1 en eerdere versies |
Alles |
Magento Commerce |
2.3.5-p2 en eerdere versies |
Alles |
Magento Commerce |
2.4.0 en eerdere versies |
Alles |
Magento Open Source |
2.3.5-p1 en eerdere versies |
Alles |
Magento Open Source |
2.3.5-p2 en eerdere versies |
Alles |
Magento Open Source |
2.4.0 en eerdere versies |
Alles |
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies.
Product |
Bijgewerkte versie |
Platform |
Prioriteitsbeoordeling |
Releaseopmerkingen |
---|---|---|---|---|
Magento Commerce |
2.4.1 |
Alles |
2 |
|
Magento Open Source |
2.4.1 |
Alles |
2 |
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Alles |
2 |
|
Magento Open Source |
2.3.6 |
Alles |
2 |
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
Beheerdersrechten vereist? |
Magento Bug ID |
CVE-nummers |
|
---|---|---|---|---|---|---|
Omzeilen bestand uploaden voor lijst van gewenste personen |
Uitvoering van willekeurige code |
Kritiek |
Nee |
Ja |
PRODSECBUG-2799 |
CVE-2020-24407 |
SQL-injectie |
Willekeurige lees- of schrijftoegang tot database |
Kritiek |
Nee |
Ja |
PRODSECBUG-2779 |
CVE-2020-24400 |
Onjuiste autorisatie |
Ongeautoriseerde wijziging van klantenlijst |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2789 |
CVE-2020-24402 |
Onvoldoende ongeldigverklaring van gebruikerssessie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2785 |
CVE-2020-24401 |
Onjuiste autorisatie |
Ongeautoriseerde wijziging van Magento CMS-pagina's |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2796 |
CVE-2020-24404 |
Openbaarmaking van gevoelige informatie |
Openbaarmaking van pad documentoorsprong |
Gemiddeld |
Nee |
Ja |
PRODSECBUG-2798 |
CVE-2020-24406 |
Cross-site scripting (opgeslagen XXS) |
Arbitraire uitvoering van JavaScript in de browser |
Belangrijk |
Ja |
Nee |
PRODSECBUG-2804 |
CVE-2020-24408 |
Onjuiste autorisatie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2797 |
CVE-2020-24405 |
Onjuiste autorisatie |
Ongeautoriseerde toegang tot beperkte bronnen |
Belangrijk |
Nee |
Ja |
PRODSECBUG-2791 |
CVE-2020-24403 |
Verificatie vooraf: Er kan zonder inloggegevens misbruik worden gemaakt van de kwetsbaarheid.
Beheerdersrechten vereist: Er kan alleen misbruik worden gemaakt van de kwetsbaarheid door een aanvaller met beheerdersrechten.
Extra technische beschrijvingen van de CVE's waarnaar in dit document wordt verwezen, worden beschikbaar gemaakt op MITRE- en NVD-sites.
Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
---|---|---|
jQuery-bestand uploaden |
Uitvoering van willekeurige code |
2.4.0 en eerdere versies |
TinyMCE |
Willekeurige JavaScript-uitvoering |
2.4.0 en eerdere versies |
Adobe dankt de volgende personen voor het melden van deze problemen en voor hun samenwerking met Adobe om gebruikers beter te beschermen:
Aanmelden bij je account