ID del boletín
Última actualización el
28 dic. 2022
|
También se aplica a Digital Editions
Actualizaciones de seguridad disponibles para Magento | APSB20-41
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
ASPB20-41 |
22 de junio de 2020 |
2 |
Resumen
Magento ha publicado actualizaciones para sus ediciones Magento Commerce 1 and Magento Open Source 1. Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y críticas. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.
El soporte para Magento Commerce 1.14 y Magento Open Source 1 finalizará en junio de 2020. Estos serán los parches de seguridad finales disponibles para estas ediciones.
Nota:
Magento Commerce 1 se conocía anteriormente como Magento Enterprise Edition, y Magento Open Source 1 se conocía anteriormente como Magento Community Edition.
Versiones afectadas
|
Producto |
Versión |
Plataforma |
|---|---|---|
|
Magento Commerce 1 |
1.14.4.5 y versiones anteriores |
Todas |
|
Magento Open Source 1 |
1.9.4.5 y versiones anteriores |
Todas |
Nota:
Estas vulnerabilidades no afectan al Magento Commerce ni a Magento Open Source.
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
|
Producto |
Versión |
Plataforma |
Prioridad Nivel |
Disponibilidad |
|---|---|---|---|---|
|
Magento Commerce 1 |
SUPEE-11346 |
Todas |
2 |
My Account > Pestaña Downloads > Magento Commerce 1.X > Magento Commerce 1.x > Support and Security Patches > Security Patches > Security |
|
Magento Open Source 1 |
SUPEE-11346 |
Todas |
2 |
Página Magento Open Source Download > Pestaña Release Archive > Magento Open Source Patches - Sección 1.x |
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
¿Se requieren privilegios administrativos? |
ID del error de Magento |
Números CVE |
|
|---|---|---|---|---|---|---|
|
Inyección de objetos PHP |
Ejecución de código arbitraria |
Crítico |
No |
Sí |
PRODSECBUG-2758 |
CVE-2020-9664 |
|
Ataques mediante secuencias de comandos en sitios cruzados almacenados |
Divulgación de información confidencial |
Importante |
No |
Sí |
PRODSECBUG-2759 |
CVE-2020-9665 |
Nota:
Autenticación previa: la vulnerabilidad se puede explotar sin credenciales.
Privilegios administrativos necesarios: la vulnerabilidad solo la puede explotar un atacante con privilegios administrativos.
Reconocimientos
Adobe desea dar las gracias a Luke Rodgers por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger a nuestros clientes.
