Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Magento | APSB20-22

ID buletin

Data publicării

Prioritatea

ASPB20-22

28 aprilie 2020      

2

Sumar

Magento a lansat actualizări pentru edițiile Magento Commerce și Open Source.  Aceste actualizări remediază vulnerabilități marcate drept Critice, Importante și Moderate (evaluări de severitate).  Exploatarea reușită ar putea conduce la executarea de cod arbitrar.    

Versiunile afectate

Produs

Versiunea

Platformă

Magento Commerce 

2.3.4 și versiunile anterioare    

Toate

Magento Open Source   

2.3.4 și versiunile anterioare    

Toate

Magento Commerce 

2.2.11 și versiunile anterioare (vedeți nota)

Toate

Magento Open Source  

2.2.11 și versiunile anterioare (vedeți nota)

Toate

Magento Enterprise Edition    

1.14.4.4 și versiunile anterioare    

Toate

Magento Community Edition  

1.9.4.4 și versiunile anterioare

Toate

Notă:

Magento 2.2x a atins sfârșitul duratei de primire a asistenței pe 31 decembrie 2019.

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs

Versiunea

Platformă

Prioritatea Evaluare

Disponibilitate

Magento Commerce    

2.3.4-p2

Toate

2

Magento Open Source    

2.3.4-p2

Toate

2

Magento Commerce    

2.3.5-p1

Toate

2

Magento Open Source    

2.3.5-p1

Toate

2

Magento Enterprise Edition    

1.14.4.5

Toate

2

Magento Community Edition    

1.9.4.5

Toate

2

Notă:

Magento Commerce 2.2.12 este disponibil în exclusivitate clienților Commerce cu asistență extinsă.

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate Impactul vulnerabilității Severitate Preauentificare? Sunt necesare privilegii de administrator?

Magento Bug ID Numere CVE
Injectare comenzi



Executare de cod arbitrară



Critic



Nu Da PRODSECBUG-2707



CVE-2020-9576



Scriptare stocată între site-uri    



Divulgare de informații sensibile    



Importantă Da



Nu PRODSECBUG-2671



CVE-2020-9577 



Injectare comenzi



Executare de cod arbitrară



Critic 



Nu Da PRODSECBUG-2695



CVE-2020-9578  



Ocolirea soluției provizorii de securitate



Executare de cod arbitrară



Critic



Nu



Da



PRODSECBUG-2696



CVE-2020-9579
Ocolirea soluției provizorii de securitate



Executare de cod arbitrară Critic



Nu



Da



PRODSECBUG-2697



CVE-2020-9580
Scriptare stocată între site-uri



Divulgare de informații sensibile



Important



Nu



Da



PRODSECBUG-2700



CVE-2020-9581
Injectare comenzi



Executare de cod arbitrară



Critic



Nu



Da



PRODSECBUG-2708



CVE-2020-9582
Injectare comenzi



Executare de cod arbitrară



Critic



Nu



Da



PRODSECBUG-2710



CVE-2020-9583
Scriptare stocată între site-uri



Divulgare de informații sensibile



Important



Da



Nu



PRODSECBUG-2715



CVE-2020-9584
Soluție provizorie de securitate



Executare de cod arbitrară



Moderat



Nu



Da



PRODSECBUG-2541



CVE-2020-9585
Soluție provizorie de securitate de apărare în profunzime



Acces neautorizat la panoul de administrare



Moderat



Da Da



MPERF-10898



CVE-2020-9591



Ocolire autorizare



Reduceri de produs potențial neautorizate



Moderat



Da



Nu



PRODSECBUG-2518



CVE-2020-9587



Discrepanță de temporizare observabilă Ocolirea verificării semnăturii



Important



Nu



Da



PRODSECBUG-2677



CVE-2020-9588
Eroare de logică de business Escaladarea privilegiilor Importantă Nu Da PRODSECBUG-2722 CVE-2020-9630
Ocolirea soluției provizorii de securitate Executare de cod arbitrară Critică Nu Da PRODSECBUG-2703 CVE-2020-9631
Ocolirea soluției provizorii de securitate Executare de cod arbitrară Critică Nu Da PRODSECBUG-2704 CVE-2020-9632
Notă:

1.     CVE-2020-9585 este atenuată în instalările implicite

2.     CVE-2020-9591 afectează exclusiv Magento 1

Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Mențiuni

Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revizuiri

4 mai 2020: S-a eliminat recunoașterea pentru CVE-2020-9586.

7 mai 2020: S-a adăugat CVE-2020-9630, care fusese omis accidental din versiunea originală. 

12 mai 2020: s-au adăugat CVE-2020-9631 și CVE-2020-9632, care fuseseră omise accidental din versiunea originală. 

 Adobe

Obțineți ajutor mai rapid și mai ușor

Utilizator nou?

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX 2024

Adobe MAX
Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online

Adobe MAX

Conferința despre creativitate

14 – 16 octombrie, Miami Beach și online