ID buletin
Actualizări de securitate disponibile pentru Magento | APSB20-47
|
Data publicării |
Prioritatea |
---|---|---|
ASPB20-47 |
28 iulie 2020 |
2 |
Sumar
Magento a lansat actualizări pentru Magento Commerce 2 (cunoscut anterior ca Magento Enterprise Edition) și Magento Open Source 2 (cunoscut anterior ca Magento Community Edition).Aceste actualizări remediază vulnerabilități evaluate drept Importante și Critice. O exploatare reușită ar putea duce la executare de cod arbitrară și ocolirea verificării semnăturii.
Versiunile afectate
Produs |
Versiunea |
Platformă |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 și versiunile anterioare |
Toate |
Magento Open Source 2 |
2.3.5-p1 și versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.
Produs |
Versiune actualizată |
Platformă |
Evaluare a priorității |
Note de lansare |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Toate |
2 |
|
Magento Open Source 2 |
2.4.0 |
Toate |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Toate |
2 |
Nu este cazul |
Magento Open Source 2 |
2.3.5-p2 |
Toate |
2 |
Nu este cazul |
Detalii privind vulnerabilitatea
Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Sunt necesare privilegii de administrator? |
Magento Bug ID |
Numere CVE |
|
---|---|---|---|---|---|---|
Traversare de cale |
Executare de cod arbitrară |
Critică |
Nu |
Da |
PRODSECBUG-2716 |
CVE-2020-9689 |
Discrepanță de temporizare observabilă |
Ocolirea verificării semnăturii |
Importantă |
Nu |
Da |
PRODSECBUG-2726 |
CVE-2020-9690 |
Scriptare între site-uri bazată pe DOM |
Executare de cod arbitrară |
Importantă |
Da |
Nu |
PRODSECBUG-2533 |
CVE-2020-9691 |
Ocolirea soluției provizorii de securitate |
Executare de cod arbitrară |
Critică |
Nu |
Da |
PRODSECBUG-2769 |
CVE-2020-9692 |
Preautentificare: Vulnerabilitatea poate fi exploatată fără acreditări.
Sunt necesare privilegii de administrator: Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.
Mențiuni
Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Edgar Boda-Majer de la Bugscale și Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer de la Bugscale (CVE-2020-9692)