ID do boletim
Última atualização em
06/05/2021
|
Também é aplicável a Digital Editions
Atualizações de segurança disponíveis para o Magento | APSB20-41
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
ASPB20-41 |
22 de junho de 2020 |
2 |
Resumo
A Magento lançou atualizações para o Magento Commerce 1 e o Magento Open Source 1. Essas atualizações resolvem vulnerabilidades de classificação Importante e Crítica. A exploração bem-sucedida poderia levar a uma execução de código arbitrária.
O suporte para o Magento Commerce 1.14 e para o Magento Open Source 1 termina em junho de 2020. Esses serão os patches de segurança finais disponíveis para essas edições.
Observação:
O Magento Commerce 1 era denominado anteriormente Magento Enterprise Edition, e o Magento Open Source 1 era denominado anteriormente Magento Community Edition.
Versões afetadas
|
Produto |
Versão |
Plataforma |
|---|---|---|
|
Magento Commerce 1 |
1.14.4.5 e versões anteriores |
Todos |
|
Magento Open Source 1 |
1.9.4.5 e versões anteriores |
Todos |
Observação:
Essas vulnerabilidades não afetam o Magento Commerce nem o Magento Open Source.
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
|
Produto |
Versão |
Plataforma |
Classificação de prioridade |
Disponibilidade |
|---|---|---|---|---|
|
Magento Commerce 1 |
SUPEE-11346 |
Todos |
2 |
Minha conta > Guia de downloads > Magento Commerce 1.X > Magento Commerce 1.x > Patches de suporte e segurança > Patches de segurança > Segurança |
|
Magento Open Source 1 |
SUPEE-11346 |
Todos |
2 |
Página de download do Magento Open Source > Guia de arquivos de versões > Seção de patches do Magento Open Source 1.x |
Detalhes da vulnerabilidade
|
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Privilégios de administrador necessários? |
ID de Bug do Magento |
Números CVE |
|
|---|---|---|---|---|---|---|
|
Injeção de objeto PHP |
Execução de código arbitrária |
Crítico |
Não |
Sim |
PRODSECBUG-2758 |
CVE-2020-9664 |
|
Script armazenado entre sites |
Divulgação de informações confidenciais |
Importante |
Não |
Sim |
PRODSECBUG-2759 |
CVE-2020-9665 |
Observação:
Pré-autenticação: a vulnerabilidade é explorável sem credenciais.
Privilégios de administrador necessários: a vulnerabilidade só pode ser explorada por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer a Luke Rodgers por relatar esses problemas e trabalhar com a Adobe para ajudar a proteger os nossos clientes.
