ID buletin
Actualizări de securitate disponibile pentru Magento | APSB20-22
|
Data publicării |
Prioritatea |
---|---|---|
ASPB20-22 |
28 aprilie 2020 |
2 |
Sumar
Magento a lansat actualizări pentru edițiile Magento Commerce și Open Source. Aceste actualizări remediază vulnerabilități marcate drept Critice, Importante și Moderate (evaluări de severitate). Exploatarea reușită ar putea conduce la executarea de cod arbitrar.
Versiunile afectate
Produs |
Versiunea |
Platformă |
---|---|---|
Magento Commerce |
2.3.4 și versiunile anterioare |
Toate |
Magento Open Source |
2.3.4 și versiunile anterioare |
Toate |
Magento Commerce |
2.2.11 și versiunile anterioare (vedeți nota) |
Toate |
Magento Open Source |
2.2.11 și versiunile anterioare (vedeți nota) |
Toate |
Magento Enterprise Edition |
1.14.4.4 și versiunile anterioare |
Toate |
Magento Community Edition |
1.9.4.4 și versiunile anterioare |
Toate |
Magento 2.2x a atins sfârșitul duratei de primire a asistenței pe 31 decembrie 2019.
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.
Produs |
Versiunea |
Platformă |
Prioritatea Evaluare |
Disponibilitate |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
Toate |
2 |
|
Magento Open Source |
2.3.4-p2 |
Toate |
2 |
|
Magento Commerce |
2.3.5-p1 |
Toate |
2 |
|
Magento Open Source |
2.3.5-p1 |
Toate |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
Toate |
2 |
|
Magento Community Edition |
1.9.4.5 |
Toate |
2 |
Magento Commerce 2.2.12 este disponibil în exclusivitate clienților Commerce cu asistență extinsă.
Detalii privind vulnerabilitatea
1. CVE-2020-9585 este atenuată în instalările implicite
2. CVE-2020-9591 afectează exclusiv Magento 1
Preautentificare: Vulnerabilitatea poate fi exploatată fără acreditări.
Sunt necesare privilegii de administrator: Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.
Mențiuni
Adobe dorește să mulțumească următoarelor persoane și organizații pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
Revizuiri
4 mai 2020: S-a eliminat recunoașterea pentru CVE-2020-9586.
7 mai 2020: S-a adăugat CVE-2020-9630, care fusese omis accidental din versiunea originală.
12 mai 2020: s-au adăugat CVE-2020-9631 și CVE-2020-9632, care fuseseră omise accidental din versiunea originală.