Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń programu Magento | APSB20-59

ID biuletynu

Data publikacji

Priorytet

APSB20-59

15.10.2020      

2

Podsumowanie

Firma Magento wydała aktualizacje produktów Magento Commerce i Magento Open Source. Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako poważnekrytyczne. Luki te mogą umożliwić wykonanie dowolnego kodu.    

Wersje, których dotyczy problem

Produkt

Wersja

Platforma

Magento Commerce 

2.3.5-p1 i starsze wersje  

Wszystkie

Magento Commerce 

2.3.5-p2 i starsze wersje  

Wszystkie

Magento Commerce 

2.4.0 i wcześniejsze wersje 

Wszystkie

Magento Open Source 

2.3.5-p1 i starsze wersje

Wszystkie

Magento Open Source 

2.3.5-p2 i starsze wersje

Wszystkie

Magento Open Source 

2.4.0 i wcześniejsze wersje 

Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.

Produkt

Zaktualizowana wersja

Platforma

Ocena priorytetu

Uwagi na temat wersji

Magento Commerce 

2.4.1

Wszystkie

2

Magento Open Source 

2.4.1

Wszystkie

2

 

 

 

 

 

Magento Commerce 

2.3.6

Wszystkie

2

Magento Open Source 

2.3.6

Wszystkie

2

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Ważność

Uwierzytelnianie wstępne?

Wymagane uprawnienia administratora?

ID błędu Magento

Numery CVE

Obejście listy Zezwalaj na przesyłanie plików

Wykonanie dowolnego kodu 

Krytyczna 

Nie

Tak

PRODSECBUG-2799

CVE-2020-24407

Wstrzyknięcie kodu SQL

Arbitralny dostęp do odczytu lub zapisu do bazy danych

Krytyczna 

Nie

Tak

PRODSECBUG-2779

CVE-2020-24400

Niewłaściwe pozwolenie

Nieautoryzowana modyfikacja listy klientów

Istotna

Nie

Tak

PRODSECBUG-2789

CVE-2020-24402

Niewystarczające unieważnienie sesji użytkownika

Nieautoryzowany dostęp do ograniczonych zasobów

Istotna

Nie

Tak

PRODSECBUG-2785

CVE-2020-24401

Niewłaściwe pozwolenie

Nieautoryzowana modyfikacja stron Magento CMS

Istotna

Nie

Tak

PRODSECBUG-2796

CVE-2020-24404

Ujawnienie poufnych informacji

Ujawnianie ścieżki katalogu głównego dokumentu

Średnia

Nie

Tak

PRODSECBUG-2798

CVE-2020-24406

Tworzenie skryptów międzywitrynowych (zapisane XSS)

Arbitralne wykonanie JavaScript w przeglądarce

Istotna

Tak

Nie

PRODSECBUG-2804

CVE-2020-24408

Niewłaściwe pozwolenie

Nieautoryzowany dostęp do ograniczonych zasobów

Istotna

Nie

Tak

PRODSECBUG-2797

CVE-2020-24405

Niewłaściwe pozwolenie

Nieautoryzowany dostęp do ograniczonych zasobów

Istotna

Nie

Tak

PRODSECBUG-2791

CVE-2020-24403

Uwaga:

Uwierzytelnianie wstępne: Lukę można wykorzystać bez poświadczeń.

Wymagane uprawnienia administratora: Lukę może wykorzystać tylko osoba atakująca z uprawnieniami administracyjnymi.

Dodatkowe opisy techniczne CVEs, do których odwołuje się ten dokument, będą udostępnione w serwisach MITRE i NVD.

Aktualizacje zależności

Zależność

Wpływ luki w zabezpieczeniach

Zagrożone wersje

Przesyłanie pliku jQuery

Wykonanie dowolnego kodu 

2.4.0 i starsze wersje 

TinyMCE

Dowolne wykonanie kodu JavaScript w przeglądarce

2.4.0 i starsze wersje 

Podziękowania

Firma Adobe składa podziękowania następującym osobom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe nad bezpieczeństwem naszych klientów:   

  • Edgar Boda-Majer z Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406)
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Logo Adobe

Zaloguj się na swoje konto