ID biuletynu
Ostatnia aktualizacja
20 maj 2021
|
Dotyczy również Digital Editions
Dostępne aktualizacje zabezpieczeń programu Magento | APSB20-59
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB20-59 |
15.10.2020 |
2 |
Podsumowanie
Wersje, których dotyczy problem
|
Produkt |
Wersja |
Platforma |
|---|---|---|
|
Magento Commerce |
2.3.5-p1 i starsze wersje |
Wszystkie |
|
Magento Commerce |
2.3.5-p2 i starsze wersje |
Wszystkie |
|
Magento Commerce |
2.4.0 i wcześniejsze wersje |
Wszystkie |
|
Magento Open Source |
2.3.5-p1 i starsze wersje |
Wszystkie |
|
Magento Open Source |
2.3.5-p2 i starsze wersje |
Wszystkie |
|
Magento Open Source |
2.4.0 i wcześniejsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
|
Produkt |
Zaktualizowana wersja |
Platforma |
Ocena priorytetu |
Uwagi na temat wersji |
|---|---|---|---|---|
|
Magento Commerce |
2.4.1 |
Wszystkie |
2 |
|
|
Magento Open Source |
2.4.1 |
Wszystkie |
2 |
|
|
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Wszystkie |
2 |
|
|
Magento Open Source |
2.3.6 |
Wszystkie |
2 |
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ważność |
Wymagane uprawnienia administratora? |
ID błędu Magento |
Numery CVE |
|
|---|---|---|---|---|---|---|
|
Obejście listy Zezwalaj na przesyłanie plików |
Wykonanie dowolnego kodu |
Krytyczna |
Nie |
Tak |
PRODSECBUG-2799 |
CVE-2020-24407 |
|
Wstrzyknięcie kodu SQL |
Arbitralny dostęp do odczytu lub zapisu do bazy danych |
Krytyczna |
Nie |
Tak |
PRODSECBUG-2779 |
CVE-2020-24400 |
|
Niewłaściwe pozwolenie |
Nieautoryzowana modyfikacja listy klientów |
Istotna |
Nie |
Tak |
PRODSECBUG-2789 |
CVE-2020-24402 |
|
Niewystarczające unieważnienie sesji użytkownika |
Nieautoryzowany dostęp do ograniczonych zasobów |
Istotna |
Nie |
Tak |
PRODSECBUG-2785 |
CVE-2020-24401 |
|
Niewłaściwe pozwolenie |
Nieautoryzowana modyfikacja stron Magento CMS |
Istotna |
Nie |
Tak |
PRODSECBUG-2796 |
CVE-2020-24404 |
|
Ujawnienie poufnych informacji |
Ujawnianie ścieżki katalogu głównego dokumentu |
Średnia |
Nie |
Tak |
PRODSECBUG-2798 |
CVE-2020-24406 |
|
Tworzenie skryptów międzywitrynowych (zapisane XSS) |
Arbitralne wykonanie JavaScript w przeglądarce |
Istotna |
Tak |
Nie |
PRODSECBUG-2804 |
CVE-2020-24408 |
|
Niewłaściwe pozwolenie |
Nieautoryzowany dostęp do ograniczonych zasobów |
Istotna |
Nie |
Tak |
PRODSECBUG-2797 |
CVE-2020-24405 |
|
Niewłaściwe pozwolenie |
Nieautoryzowany dostęp do ograniczonych zasobów |
Istotna |
Nie |
Tak |
PRODSECBUG-2791 |
CVE-2020-24403 |
Uwaga:
Aktualizacje zależności
|
Zależność |
Wpływ luki w zabezpieczeniach |
Zagrożone wersje |
|---|---|---|
|
Przesyłanie pliku jQuery |
Wykonanie dowolnego kodu |
2.4.0 i starsze wersje |
|
TinyMCE |
Dowolne wykonanie kodu JavaScript w przeglądarce |
2.4.0 i starsze wersje |
Podziękowania
Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:
- Edgar Boda-Majer z Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)
