ID biuletynu
Dostępne aktualizacje zabezpieczeń programu Magento | APSB20-47
|
Data publikacji |
Priorytet |
---|---|---|
ASPB20-47 |
28 lipca 2020 r. |
2 |
Podsumowanie
Firma Magento opublikowała aktualizacje programu Magento Commerce 2 (dawniej znanego jako Magento Enterprise Edition) i Magento Open Source 2 (dawniej znanego jako Magento Community Edition). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotne i krytyczne. Wykorzystanie tych luk mogłoby doprowadzić do wykonania dowolnego kodu i obejścia weryfikacji podpisu.
Wersje, których dotyczy problem
Produkt |
Wersja |
Platforma |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 i starsze wersje |
Wszystkie |
Magento Open Source 2 |
2.3.5-p1 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
Produkt |
Zaktualizowana wersja |
Platforma |
Ocena priorytetu |
Uwagi na temat wersji |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Wszystkie |
2 |
|
Magento Open Source 2 |
2.4.0 |
Wszystkie |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Wszystkie |
2 |
Nie dotyczy |
Magento Open Source 2 |
2.3.5-p2 |
Wszystkie |
2 |
Nie dotyczy |
Informacje o luce w zabezpieczeniach
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ważność |
Wymagane uprawnienia administratora? |
ID błędu Magento |
Numery CVE |
|
---|---|---|---|---|---|---|
Przeglądanie ścieżek |
Wykonanie dowolnego kodu |
Krytyczna |
Nie |
Tak |
PRODSECBUG-2716 |
CVE-2020-9689 |
Obserwowalna rozbieżność czasowa |
Obejście weryfikacji podpisu |
Istotna |
Nie |
Tak |
PRODSECBUG-2726 |
CVE-2020-9690 |
Skrypty międzyserwisowe bazujące na modelu DOM |
Wykonanie dowolnego kodu |
Ważna |
Tak |
Nie |
PRODSECBUG-2533 |
CVE-2020-9691 |
Obejście zabezpieczeń |
Wykonanie dowolnego kodu |
Krytyczna |
Nie |
Tak |
PRODSECBUG-2769 |
CVE-2020-9692 |
Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.
Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:
- Edgar Boda-Majer z Bugscale and Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer z Bugscale (CVE-2020-9692)