Бюллетень безопасности Adobe

Обновления системы безопасности для Magento | APSB20-22

Идентификатор бюллетеня

Дата публикации

Приоритет

ASPB20-22

28 апреля 2020 г.      

2

Сводка

Компания Magento выпустила обновления для версий Magento Commerce и Open SourceЭти обновления позволяют устранить уязвимости, классифицируемые как Критические, Важные и Средние (по уровню опасности).При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.    

Затрагиваемые версии

Продукт

Версия

Платформа

Magento Commerce 

2.3.4 и более ранние версии    

Все

Magento Open Source   

2.3.4 и более ранние версии    

Все

Magento Commerce 

2.2.11 и более ранние версии (см. примечание)

Все

Magento Open Source  

2.2.11 и более ранние версии (см. примечание)

Все

Magento Enterprise Edition    

1.14.4.4 и более ранние версии    

Все

Magento Community Edition  

1.9.4.4 и более ранние версии

Все

Примечание.

Поддержка Magento 2.2x прекращена 31 декабря 2019 г.

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт

Версия

Платформа

Приоритет Рейтинг

Доступность

Magento Commerce    

2.3.4-p2

Все

2

Magento Open Source    

2.3.4-p2

Все

2

Magento Commerce    

2.3.5-p1

Все

2

Magento Open Source    

2.3.5-p1

Все

2

Magento Enterprise Edition    

1.14.4.5

Все

2

Magento Community Edition    

1.9.4.5

Все

2

Примечание.

Magento Commerce 2.2.12 предоставляется исключительно для обеспечения расширенной поддержки пользователей Commerce.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Предварительная проверка подлинности? Требуются права администратора?

Magento Bug ID Номера CVE
Вставка команды



Выполнение произвольного кода



Критическая



Нет Да PRODSECBUG-2707



CVE-2020-9576



Сохраненный межсайтовый скриптинг    



Раскрытие конфиденциальной информации    



Важная Да



Нет PRODSECBUG-2671



CVE-2020-9577 



Вставка команды



Выполнение произвольного кода



Критическая 



Нет Да PRODSECBUG-2695



CVE-2020-9578  



Обход системы безопасности



Выполнение произвольного кода



Критическая



Нет



Да



PRODSECBUG-2696



CVE-2020-9579
Обход системы безопасности



Выполнение произвольного кода Критическая



Нет



Да



PRODSECBUG-2697



CVE-2020-9580
Сохраненный межсайтовый скриптинг



Раскрытие конфиденциальной информации



Важная



Нет



Да



PRODSECBUG-2700



CVE-2020-9581
Вставка команды



Выполнение произвольного кода



Критическая



Нет



Да



PRODSECBUG-2708



CVE-2020-9582
Вставка команды



Выполнение произвольного кода



Критическая



Нет



Да



PRODSECBUG-2710



CVE-2020-9583
Сохраненный межсайтовый скриптинг



Раскрытие конфиденциальной информации



Важная



Да



Нет



PRODSECBUG-2715



CVE-2020-9584
Многоуровневая система безопасности



Выполнение произвольного кода



Средняя



Нет



Да



PRODSECBUG-2541



CVE-2020-9585
Многоуровневая система безопасности



Несанкционированный доступ к панели администрирования



Средняя



Да Да



MPERF-10898



CVE-2020-9591



Обход авторизации



Потенциально несанкционированные скидки на продукты



Средняя



Да



Нет



PRODSECBUG-2518



CVE-2020-9587



Наблюдаемое рассогласование по времени Обход проверки подписи



Важная



Нет



Да



PRODSECBUG-2677



CVE-2020-9588
Ошибка бизнес-логики Повышение уровня полномочий Важная Нет Да PRODSECBUG-2722 CVE-2020-9630
Обход системы безопасности Выполнение произвольного кода Критическая Нет Да PRODSECBUG-2703 CVE-2020-9631
Обход системы безопасности Выполнение произвольного кода Критическая Нет Да PRODSECBUG-2704 CVE-2020-9632
Примечание.

1.     Уязвимость CVE-2020-9585 отсутствует при установке по умолчанию

2.     Уязвимость CVE-2020-9591 существует исключительно в Magento 1

Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.   

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.  

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Эдгар Бода-Майер (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Васин Сае-нгоу (CVE-2020-9588)
  • Макс Чедвик (CVE-2020-9630)

 

Редакции

4 мая 2020 г.: удалена благодарность за CVE-2020-9586.

7 мая 2020 г.: добавлена проблема CVE-2020-9630, которая случайно была исключена из первоначальной версии. 

12 мая 2020 г.: добавлены проблемы CVE-2020-9631 и CVE-2020-9632, которые случайно были исключены из первоначальной версии. 

Логотип Adobe

Вход в учетную запись