Bulletin-ID
Sist oppdatert
7. mai 2021
|
Gjelder også for Digital Editions
Sikkerhetsoppdateringer tilgjengelig for Magento | APSB20-47
|
|
Dato publisert |
Prioritet |
|---|---|---|
|
ASPB20-47 |
28.07.2020 |
2 |
Sammendrag
Magento har gitt ut oppdateringer for Magento Commerce 2 (tidligere kjent som Magento Enterprise Edition) og Magento Open Source 2 (tidligere kjent som Magento Community Edition). Disse oppdateringene løser sårbarheter klassifisert som Viktig og Kritisk. Vellykket utnyttelse kan fær til vilkårlig kjøring av kode og omgåelse av signaturverifisering.
Berørte versjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 og eldre versjoner |
Alle |
|
Magento Open Source 2 |
2.3.5-p1 og eldre versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
|
Produkt |
Oppdatert versjon |
Plattform |
Prioritet Klassifisering |
Utgivelsesmerknader |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Alle |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Alle |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alle |
2 |
Ikke tilgjengelig |
|
Magento Open Source 2 |
2.3.5-p2 |
Alle |
2 |
Ikke tilgjengelig |
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
Kreves det admin-privilegier? |
Magento antivirus-ID |
CVE-numre |
|
|---|---|---|---|---|---|---|
|
Banekrysning |
Vilkårlig kjøring av kode |
Kritisk |
No |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Observerbart tidtakingsavvik |
Omgåelse av signaturverifisering |
Viktig |
No |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
DOM-basert skript på tvers av nettsteder |
Vilkårlig kjøring av kode |
Viktig |
Ja |
No |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Omgåelse av sikkerhetsbeskyttelse |
Vilkårlig kjøring av kode |
Kritisk |
No |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Merk:
Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.
Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.
Takk
Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:
- Edgar Boda-Majer fra Bugscale og Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer fra Bugscale (CVE-2020-9692)
