ID biuletynu
Dostępna aktualizacja zabezpieczeń programu Magento | APSB20-41
|
Data publikacji |
Priorytet |
---|---|---|
ASPB20-41 |
22 czerwca 2020 r. |
2 |
Podsumowanie
Firma Magento wydała aktualizacje produktów Magento Commerce 1 i Magento Open Source 1. Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotne i krytyczne. Luki te mogą umożliwić wykonanie dowolnego kodu.
Wsparcie dla produktów Magento Commerce 1.14 i Magento Open Source 1 kończy się w czerwcu 2020 roku. Będą to ostatnie poprawki zabezpieczeń dostępne dla tych wersji.
Wcześniejsza nazwa produktu Magento Commerce 1 to Magento Enterprise Edition, a produktu Magento Open Source 1 — Magento Community Edition.
Wersje, których dotyczy problem
Produkt |
Wersja |
Platforma |
---|---|---|
Magento Commerce 1 |
1.14.4.5 i starsze wersje |
Wszystkie |
Magento Open Source 1 |
1.9.4.5 i starsze wersje |
Wszystkie |
Luki te nie mają wpływu na produkty Magento Commerce i Magento Open Source.
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
Produkt |
Wersja |
Platforma |
Priorytet Ocena |
Dostępność |
---|---|---|---|---|
Magento Commerce 1 |
SUPEE-11346 |
Wszystkie |
2 |
My Account (Moje konto) > karta Downloads (Do pobrania) > Magento Commerce 1.X > Magento Commerce 1.x > Support and Security Patches (Wsparcie i poprawki zabezpieczeń) > Security Patches (Poprawki zabezpieczeń) > Security (Zabezpieczenia) |
Magento Open Source 1 |
SUPEE-11346 |
Wszystkie |
2 |
Strona pobierania programu Magento Open Source > karta Release Archive (Archiwum wersji) > sekcja Magento Open Source Patches — 1.x (Poprawki do programu Magento Open Source — 1.x) |
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ważność |
Wymagane uprawnienia administratora? |
ID błędu Magento |
Numery CVE |
|
---|---|---|---|---|---|---|
Wstrzykiwanie obiektów PHP |
Wykonanie dowolnego kodu |
Krytyczna |
Nie |
Tak |
PRODSECBUG-2758 |
CVE-2020-9664 |
Ataki typu „stored XSS” |
Ujawnienie poufnych informacji |
Istotna |
Nie |
Tak |
PRODSECBUG-2759 |
CVE-2020-9665 |
Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.
Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.
Podziękowania
Firma Adobe składa podziękowania Luke'owi Rodgersowi za zgłoszenie tych problemów i współpracę z firmą Adobe w celu ochrony naszych klientów.