Buletin de securitate Adobe

Actualizări de securitate disponibile pentru Magento | APSB20-59

ID buletin

Data publicării

Prioritatea

APSB20-59

15 octombrie 2020      

2

Sumar

Magento a lansat actualizări pentru edițiile Magento Commerce și Magento Open Source.Aceste actualizări remediază vulnerabilități evaluate drept importante și critice. Exploatarea reușită ar putea conduce la executarea de cod arbitrar.    

Versiunile afectate

Produs

Versiunea

Platformă

Magento Commerce 

2.3.5-p1 și versiunile anterioare  

Toate

Magento Commerce 

2.3.5-p2 și versiunile anterioare  

Toate

Magento Commerce 

2.4.0 şi versiunile anterioare 

Toate

Magento Open Source 

2.3.5-p1 și versiunile anterioare

Toate

Magento Open Source 

2.3.5-p2 și versiunile anterioare

Toate

Magento Open Source 

2.4.0 şi versiunile anterioare 

Toate

Soluție

Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune.

Produs

Versiune actualizată

Platformă

Evaluare a priorității

Note de lansare

Magento Commerce 

2.4.1

Toate

2

Magento Open Source 

2.4.1

Toate

2

 

 

 

 

 

Magento Commerce 

2.3.6

Toate

2

Magento Open Source 

2.3.6

Toate

2

Detalii privind vulnerabilitatea

Categoria de vulnerabilitate

Impactul vulnerabilității

Severitate

Preauentificare?

Sunt necesare privilegii de administrator?

Magento Bug ID

Numere CVE

Ocolire a listei de permisiuni pentru încărcare de fișiere

Executare de cod arbitrară 

Critică 

Nu

Da

PRODSECBUG-2799

CVE-2020-24407

Injectare SQL

Acces de citire sau scriere arbitrar la baza de date

Critică 

Nu

Da

PRODSECBUG-2779

CVE-2020-24400

Autorizare inadecvată

Modificare neautorizată a listei de clienți

Importantă

Nu

Da

PRODSECBUG-2789

CVE-2020-24402

Invalidare insuficientă a sesiunii de utilizator

Acces neautorizat la resurse restricționate

Importantă

Nu

Da

PRODSECBUG-2785

CVE-2020-24401

Autorizare inadecvată

Modificare neautorizată a paginilor CMS Magento

Importantă

Nu

Da

PRODSECBUG-2796

CVE-2020-24404

Divulgare de informații sensibile

Dezvăluirea căii rădăcină a documentului

Moderată

Nu

Da

PRODSECBUG-2798

CVE-2020-24406

Scriptare între site-uri (XSS stocat)

Executare arbitrară de cod JavaScript în browser

Importantă

Da

Nu

PRODSECBUG-2804

CVE-2020-24408

Autorizare inadecvată

Acces neautorizat la resurse restricționate

Importantă

Nu

Da

PRODSECBUG-2797

CVE-2020-24405

Autorizare inadecvată

Acces neautorizat la resurse restricționate

Importantă

Nu

Da

PRODSECBUG-2791

CVE-2020-24403

Notă:

Preautentificare:  Vulnerabilitatea poate fi exploatată fără acreditări.   

Sunt necesare privilegii de administrator:  Vulnerabilitatea poate fi exploatată numai de către un atacator care are privilegii administrative.  

Descrierile tehnice suplimentare ale CVE-urilor menționate în acest document vor fi disponibile pe site-urile MITRE și NVD.

Actualizări ale dependențelor

Dependență

Impactul vulnerabilității

Versiuni afectate

Încărcare fișier jQuery

Executare de cod arbitrară 

2.4.0 și versiunile anterioare 

TinyMCE

Executare JavaScript arbitrară

2.4.0 și versiunile anterioare 

Mențiuni

Adobe dorește să mulțumească următoarelor persoane pentru raportarea problemelor relevante și pentru colaborarea cu Adobe în scopul protejării clienților noștri:   

  • Edgar Boda-Majer de la Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Sigla Adobe

Conectați-vă la cont

[Feedback V2 Badge]