ID buletin
Actualizări de securitate disponibile pentru Magento | APSB20-02
|
Data publicării |
Prioritatea |
---|---|---|
APSB20-02 |
28 ianuarie 2020 |
2 |
Sumar
Magento a lansat actualizări pentru edițiile Magento Commerce și Open Source. Aceste actualizări tratează vulnerabilități critice și importante. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.
Versiunile afectate
Produs |
Versiunea |
Platformă |
---|---|---|
Magento Commerce |
2.3.3 și versiunile anterioare |
Toate |
Magento Open Source |
2.3.3 și versiunile anterioare |
Toate |
Magento Commerce |
2.2.10 și versiunile anterioare |
Toate |
Magento Open Source |
2.2.10 și versiunile anterioare |
Toate |
Magento Enterprise Edition |
1.14.4.3 și versiunile anterioare |
Toate |
Magento Community Edition |
1.9.4.3 și versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.
Produs |
Versiunea |
Platformă |
Prioritatea Evaluare |
Disponibilitate |
---|---|---|---|---|
Magento Commerce |
2.3.4 |
Toate |
2 |
|
Magento Open Source |
2.3.4 |
Toate |
2 |
|
Magento Commerce |
2.2.11 |
Toate |
2 |
|
Magento Open Source |
2.2.11 |
Toate |
2 |
|
Magento Enterprise Edition |
1.14.4.4 |
Toate |
2 |
|
Magento Community Edition |
1.9.4.4 |
Toate |
2 |
Detalii privind vulnerabilitatea
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Magento Bug ID |
Numere CVE |
---|---|---|---|---|
Scriptare stocată între site-uri |
Divulgare de informații sensibile |
Importantă |
PRODSECBUG-2543 |
CVE-2020-3715 |
Scriptare stocată între site-uri |
Divulgare de informații sensibile |
Importantă |
PRODSECBUG-2599 |
CVE-2020-3758 |
Deserializarea datelor neautorizate |
Executare de cod arbitrară |
Critică |
PRODSECBUG-2579 |
CVE-2020-3716 |
Traversare de cale |
Divulgare de informații sensibile |
Importantă |
PRODSECBUG-2632 |
CVE-2020-3717 |
Ocolirea securității |
Executare de cod arbitrară |
Critică |
PRODSECBUG-2633 |
CVE-2020-3718 |
Injectare SQL |
Divulgare de informații sensibile |
Critică |
PRODSECBUG-2660 |
CVE-2020-3719 |
Mențiuni
Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)