Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB20-22

Bulletin-ID

Dato publisert

Prioritet

ASPB20-22

28. april 2020      

2

Sammendrag

Magento har utgitt oppdateringer for Magento Commerce- og åpen kildekode-utgaver.  Disse oppdateringene løser sårbarheter klassifisert som Kritisk, Viktig og Moderat (klassifiseringer av alvorlighetsgrad).  Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.    

Berørte versjoner

Produkt

Versjon

Plattform

Magento Commerce 

2.3.4 og tidligere versjoner    

Alle

Magento åpen kildekode  

2.3.4 og tidligere versjoner    

Alle

Magento Commerce 

2.2.11 og tidliere versjoner (se merknad)

Alle

Magento åpen kildekode  

2.2.11 og tidliere versjoner (se merknad)

Alle

Magento virksomhetsutgave    

1.14.4.4 og tidligere versjoner    

Alle

Magento samfunnsutgave  

1.9.4.4 og tidligere versjoner

Alle

Merk:

Støtten for Magento 2.2x utløp 31. Desember 2019.

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt

Versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

Magento Commerce    

2.3.4-p2

Alle

2

Magento åpen kildekode  

2.3.4-p2

Alle

2

Magento Commerce    

2.3.5-p1

Alle

2

Magento åpen kildekode  

2.3.5-p1

Alle

2

Magento virksomhetsutgave    

1.14.4.5

Alle

2

Magento samfunnsutgave    

1.9.4.5

Alle

2

Merk:

Magento Commerce 2.2.12 er kun tilgjengelig for bedriftskunder med utvidet støtte.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad Forhåndsautentisering? Kreves det admin-privilegier?

Magento antivirus-ID CVE-numre
Kommandoinjeksjon



Vilkårlig kjøring av kode



Kritisk



No Ja PRODSECBUG-2707



CVE-2020-9576



Lagret skripting på tvers av nettsteder    



Avsløring av sensitiv informasjon    



Viktig Ja



No PRODSECBUG-2671



CVE-2020-9577 



Kommandoinjeksjon



Vilkårlig kjøring av kode



Kritisk 



No Ja PRODSECBUG-2695



CVE-2020-9578  



Omgåelse av sikkerhetsbeskyttelse



Vilkårlig kjøring av kode



Kritisk



Nei



Ja



PRODSECBUG-2696



CVE-2020-9579
Omgåelse av sikkerhetsbeskyttelse



Vilkårlig kjøring av kode Kritisk



Nei



Ja



PRODSECBUG-2697



CVE-2020-9580
Lagret skripting på tvers av nettsteder



Avsløring av sensitiv informasjon



Viktig



Nei



Ja



PRODSECBUG-2700



CVE-2020-9581
Kommandoinjeksjon



Vilkårlig kjøring av kode



Kritisk



Nei



Ja



PRODSECBUG-2708



CVE-2020-9582
Kommandoinjeksjon



Vilkårlig kjøring av kode



Kritisk



Nei



Ja



PRODSECBUG-2710



CVE-2020-9583
Lagret skripting på tvers av nettsteder



Avsløring av sensitiv informasjon



Viktig



Ja



Nei



PRODSECBUG-2715



CVE-2020-9584
Omfattende sikkerhetsbeskyttelse



Vilkårlig kjøring av kode



Moderat



Nei



Ja



PRODSECBUG-2541



CVE-2020-9585
Omfattende sikkerhetsbeskyttelse



Uautorisert tilgang til admin-panel



Moderat



Ja Ja



MPERF-10898



CVE-2020-9591



Omgåelse av autorisasjon



Potensielt uautoriserte produktrabatter



Moderat



Ja



Nei



PRODSECBUG-2518



CVE-2020-9587



Observerbart tidtakingsavvik Omgåelse av signaturverifisering



Viktig



Nei



Ja



PRODSECBUG-2677



CVE-2020-9588
Feil med forretningslogikk Rettighetsutvidelse Viktig No Ja PRODSECBUG-2722 CVE-2020-9630
Omgåelse av sikkerhetsbeskyttelse Vilkårlig kjøring av kode Kritisk No Ja PRODSECBUG-2703 CVE-2020-9631
Omgåelse av sikkerhetsbeskyttelse Vilkårlig kjøring av kode Kritisk No Ja PRODSECBUG-2704 CVE-2020-9632
Merk:

1.     CVE-2020-9585 er beskyttet i standardintervaller

2.     CVE-2020-9591 har eksklusiv påvirkning på Magento 1

Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse sikkerhetsproblemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisjoner

4. mai 2020: Fjernet bekreftelse for CVE-2020-9586.

7. mai 2020: Lagt til CVE-2020-9630 som utilsiktet ble utelatt fra den opprinnelige versjonen. 

12. mai 2020: Lagt til CVE-2020-9631 og CVE-2020-9632 som utilsiktet ble utelatt fra den opprinnelige versjonen. 

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet