Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępna aktualizacja zabezpieczeń programu Magento | APSB20-02

ID biuletynu

Data publikacji

Priorytet

APSB20-02

 28 stycznia 2020

2

Podsumowanie

Firma Magento wydała aktualizacje produktów w wersji Magento Commerce i Open Source.  Aktualizacje te dotyczą krytycznych i  istotnych luk w zabezpieczeniach.  Luki te mogą umożliwić wykonanie dowolnego kodu.

Wersje, których dotyczy problem

Produkt

Wersja

Platforma

Magento Commerce 

2.3.3 i wcześniejsze wersje    

Wszystkie

Magento Open Source   

2.3.3 i wcześniejsze wersje    

Wszystkie

Magento Commerce 

2.2.10 i wcześniejsze wersje    

Wszystkie

Magento Open Source  

2.2.10 i wcześniejsze wersje    

Wszystkie

Magento Enterprise Edition    

1.14.4.3 i wcześniejsze wersje    

Wszystkie

Magento Community Edition   

1.9.4.3 i wcześniejsze wersje    

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt

Wersja

Platforma

Priorytet Ocena

Dostępność

Magento Commerce    

2.3.4

Wszystkie

2

Magento Open Source    

2.3.4

Wszystkie

2

Magento Commerce    

2.2.11

Wszystkie

2

Magento Open Source    

2.2.11

Wszystkie

2

Magento Enterprise Edition    

1.14.4.4

Wszystkie

2

Magento Community Edition    

1.9.4.4

Wszystkie

2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ostrość

ID błędu Magento    

Numery CVE

Ataki typu „stored XSS”    

Ujawnienie poufnych informacji    

Istotna

PRODSECBUG-2543    

CVE-2020-3715    

Ataki typu „stored XSS”    

Ujawnienie poufnych informacji    

Istotna    

PRODSECBUG-2599

CVE-2020-3758

Deserializacja niezaufanych danych    

Wykonanie dowolnego kodu    

Krytyczna    

PRODSECBUG-2579

CVE-2020-3716

Przeglądanie ścieżek    

Ujawnienie poufnych informacji    

Istotna    

PRODSECBUG-2632

CVE-2020-3717

Ominięcie zabezpieczeń    

Wykonanie dowolnego kodu    

Krytyczna    

PRODSECBUG-2633

CVE-2020-3718

Wstrzyknięcie kodu SQL    

Ujawnienie poufnych informacji    

Krytyczna    

PRODSECBUG-2660

CVE-2020-3719

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:   

·       Ernesto Martin (CVE-2020-3715)

·       Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)

·       Luke Rodgers (CVE-2020-3719)

·       Djordje Marjanovic (CVE-2020-3758)

Logo Adobe

Zaloguj się na swoje konto