Бюллетень безопасности Adobe

Обновления системы безопасности для Magento | APSB20-47

Идентификатор бюллетеня

Дата публикации

Приоритет

ASPB20-47

28 июля 2020 г.

2

Сводка

Компания Magento выпустила обновления для Magento Commerce 2 (ранее называлась Magento Enterprise Edition) и Magento Open Source 2 (ранее называлась Magento Community Edition).В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические.  При успешном использовании эта уязвимость могла привести к выполнению произвольного кода и обходу проверки подписи.





Затрагиваемые версии

Продукт

Версия

Платформа

Magento Commerce 2

2.3.5-p1 и более ранние версии 

Все

Magento Open Source 2

2.3.5-p1 и более ранние версии 

Все

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт

Обновленная версия

Платформа

Приоритет Рейтинг

Сведения о выпуске

Magento Commerce 2

2.4.0

Все

2

Magento Open Source 2

2.4.0

Все

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Все

2

Нет

Magento Open Source 2

2.3.5-p2

Все

2

Нет

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Предварительная проверка подлинности?

Требуются права администратора?

Magento Bug ID

Номера CVE

Обход каталога

Выполнение произвольного кода

Критическая

Нет

Да

PRODSECBUG-2716 

CVE-2020-9689

Наблюдаемое рассогласование по времени

Обход проверки подписи

Важная

Нет

Да

PRODSECBUG-2726

CVE-2020-9690

Сценарии междоменного вызова на основе DOM

Выполнение произвольного кода

Важная

Да

Нет

PRODSECBUG-2533 

CVE-2020-9691

Обход системы безопасности

Выполнение произвольного кода

Критическая

Нет

Да

PRODSECBUG-2769 

CVE-2020-9692 

Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.   

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.  

Благодарности

Компания Adobe приносит следующим людям благодарность за сообщение о значимых проблемах и за помощь Adobe в обеспечении защиты наших клиентов:   

  • Эдгар Бода-Майер, Bugscale и Blaklis (CVE-2020-9689)
  • Васин Сае-нгоу (CVE-2020-9690)
  • Линус Саруд (CVE-2020-9691) 
  • Эдгар Бода-Майер, Bugscale (CVE-2020-9692)

Редакции

Логотип Adobe

Вход в учетную запись