Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB20-47

Bulletin-ID

Dato publisert

Prioritet

ASPB20-47

28.07.2020

2

Sammendrag

Magento har gitt ut oppdateringer for Magento Commerce 2 (tidligere kjent som Magento Enterprise Edition) og Magento Open Source 2 (tidligere kjent som Magento Community Edition). Disse oppdateringene løser sårbarheter klassifisert som Viktig og Kritisk.  Vellykket utnyttelse kan fær til vilkårlig kjøring av kode og omgåelse av signaturverifisering.





Berørte versjoner

Produkt

Versjon

Plattform

Magento Commerce 2

2.3.5-p1 og eldre versjoner 

Alle

Magento Open Source 2

2.3.5-p1 og eldre versjoner 

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Utgivelsesmerknader

Magento Commerce 2

2.4.0

Alle

2

Magento Open Source 2

2.4.0

Alle

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Alle

2

Ikke tilgjengelig

Magento Open Source 2

2.3.5-p2

Alle

2

Ikke tilgjengelig

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

Forhåndsautentisering?

Kreves det admin-privilegier?

Magento antivirus-ID

CVE-numre

Banekrysning

Vilkårlig kjøring av kode

Kritisk

No

Ja

PRODSECBUG-2716 

CVE-2020-9689

Observerbart tidtakingsavvik

Omgåelse av signaturverifisering

Viktig

No

Ja

PRODSECBUG-2726

CVE-2020-9690

DOM-basert skript på tvers av nettsteder

Vilkårlig kjøring av kode

Viktig

Ja

No

PRODSECBUG-2533 

CVE-2020-9691

Omgåelse av sikkerhetsbeskyttelse 

Vilkårlig kjøring av kode

Kritisk

No

Ja

PRODSECBUG-2769 

CVE-2020-9692 

Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

  • Edgar Boda-Majer fra Bugscale og Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer fra Bugscale (CVE-2020-9692)

Revisjoner

Adobe-logoen

Logg på kontoen din