Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Magento | APSB20-59

Bulletin-ID

Dato publisert

Prioritet

APSB20-59

15. oktober 2020

2

Sammendrag

Magento har utgitt oppdateringer for Magento Commerce- og Magento Open Source. Disse oppdateringene løser sårbarheter klassifisert som Viktig og Kritisk. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse.    

Berørte versjoner

Produkt

Versjon

Plattform

Magento Commerce 

2.3.5-p1 og eldre versjoner  

Alle

Magento Commerce 

2.3.5-p2 og eldre versjoner  

Alle

Magento Commerce 

2.4.0 og tidligere versjoner 

Alle

Magento Open Source 

2.3.5-p1 og eldre versjoner 

Alle

Magento Open Source 

2.3.5-p2 og eldre versjoner 

Alle

Magento Open Source 

2.4.0 og tidligere versjoner 

Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.

Produkt

Oppdatert versjon

Plattform

Prioritet Klassifisering

Utgivelsesmerknader

Magento Commerce 

2.4.1

Alle

2

Magento Open Source 

2.4.1

Alle

2

 

 

 

 

 

Magento Commerce 

2.3.6

Alle

2

Magento Open Source 

2.3.6

Alle

2

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

Forhåndsautentisering?

Kreves det admin-privilegier?

Magento antivirus-ID

CVE-numre

Filopplasting av tillatelsesliste-omgåelse

Vilkårlig kjøring av kode 

Kritisk 

Nei

Ja

PRODSECBUG-2799

CVE-2020-24407

SQL-innlemming

Vilkårlig lesning eller skrivetilgang til database

Kritisk 

Nei

Ja

PRODSECBUG-2779

CVE-2020-24400

Feil autorisasjon

Uautorisert endring av kundeliste

Viktig

Nei

Ja

PRODSECBUG-2789

CVE-2020-24402

Utilstrekkelig validering av brukerøkt

Uautorisert tilgang til begrensede kilder

Viktig

Nei

Ja

PRODSECBUG-2785

CVE-2020-24401

Feil autorisasjon

Uautorisert endring av Magento CMS-sider

Viktig

Nei

Ja

PRODSECBUG-2796

CVE-2020-24404

Avsløring av sensitiv informasjon

Avsløring av dokumentets rotbane

Moderat

Nei

Ja

PRODSECBUG-2798

CVE-2020-24406

Skripting på tvers av nettsteder (lagret XSS)

Vilkårlig JavaScript-utførelse i nettleseren

Viktig

Ja

Nei

PRODSECBUG-2804

CVE-2020-24408

Feil autorisasjon

Uautorisert tilgang til begrensede kilder

Viktig

Nei

Ja

PRODSECBUG-2797

CVE-2020-24405

Feil autorisasjon

Uautorisert tilgang til begrensede kilder

Viktig

Nei

Ja

PRODSECBUG-2791

CVE-2020-24403

Merk:

Forhåndsautentisering: sårbarheten kan utnyttes uten legitimasjon.   

Det kreves admin-privilegier: sårbarheten kan bare utnyttes av en hacker med admin-privilegier.  

Ekstra tekniske beskrivelser av CVE-er referert til i dette dokumentet vil gjøres tilgjengelig på nettstedene MITRE og NVD.

Oppdateringer av avhengigheter

Avhengighet

Sikkerhetsprobleminnvirkning

Berørte versjoner

jQuery-filopplasting

Vilkårlig kjøring av kode 

2.4.0 og tidligere versjoner 

TinyMCE

Vilkårlig kjøring av JavaScript

2.4.0 og tidligere versjoner 

Takk

Adobe takker følgende personer for at de rapporterte de relevante problemene og samarbeider med oss for å hjelpe oss med å beskytte våre kunders sikkerhet:   

  • Edgar Boda-Majer fra Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Adobe-logoen

Logg på kontoen din