Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Magento | APSB20-47

ID biuletynu

Data publikacji

Priorytet

ASPB20-47

28 lipca 2020 r.      

2

Podsumowanie

Firma Magento opublikowała aktualizacje programu Magento Commerce 2 (dawniej znanego jako Magento Enterprise Edition) i Magento Open Source 2 (dawniej znanego jako Magento Community Edition). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotnekrytyczne.  Wykorzystanie tych luk mogłoby doprowadzić do wykonania dowolnego kodu i obejścia weryfikacji podpisu.





Wersje, których dotyczy problem

Produkt

Wersja

Platforma

Magento Commerce 2

2.3.5-p1 i starsze wersje 

Wszystkie

Magento Open Source 2

2.3.5-p1 i starsze wersje

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt

Zaktualizowana wersja

Platforma

Ocena priorytetu

Uwagi na temat wersji

Magento Commerce 2

2.4.0

Wszystkie

2

Magento Open Source 2

2.4.0

Wszystkie

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Wszystkie

2

Nie dotyczy

Magento Open Source 2

2.3.5-p2

Wszystkie

2

Nie dotyczy

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ważność

Uwierzytelnianie wstępne?

Wymagane uprawnienia administratora?

ID błędu Magento

Numery CVE

Przeglądanie ścieżek

Wykonanie dowolnego kodu

Krytyczna

Nie

Tak

PRODSECBUG-2716 

CVE-2020-9689

Obserwowalna rozbieżność czasowa

Obejście weryfikacji podpisu

Istotna

Nie

Tak

PRODSECBUG-2726

CVE-2020-9690

Skrypty międzyserwisowe bazujące na modelu DOM

Wykonanie dowolnego kodu

Ważna

Tak

Nie

PRODSECBUG-2533 

CVE-2020-9691

Obejście zabezpieczeń 

Wykonanie dowolnego kodu

Krytyczna

Nie

Tak

PRODSECBUG-2769 

CVE-2020-9692 

Uwaga:

Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.

Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:   

  • Edgar Boda-Majer z Bugscale and Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer z Bugscale (CVE-2020-9692)

Wersje

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?