Bulletin-ID
Senast uppdaterad den
2 maj 2021
|
Gäller även Digital Editions
Säkerhetsuppdateringar för Magento | APSB20-02
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB20-02 |
28 januari 2020 |
2 |
Sammanfattning
Magento har släppt uppdateringar för versionerna Magento Commerce och Open Source. Dessa uppdateringar åtgärdar kritiska och viktiga sårbarheter. Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.
Berörda versioner
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Magento Commerce |
2.3.3 och tidigare versioner |
Alla |
|
Magento Open Source |
2.3.3 och tidigare versioner |
Alla |
|
Magento Commerce |
2.2.10 och tidigare versioner |
Alla |
|
Magento Open Source |
2.2.10 och tidigare versioner |
Alla |
|
Magento Enterprise Edition |
1.14.4.3 och tidigare versioner |
Alla |
|
Magento Community Edition |
1.9.4.3 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
|
Produkt |
Version |
Plattform |
Prioritet |
Tillgänglighet |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4 |
Alla |
2 |
|
|
Magento Open Source |
2.3.4 |
Alla |
2 |
|
|
Magento Commerce |
2.2.11 |
Alla |
2 |
|
|
Magento Open Source |
2.2.11 |
Alla |
2 |
|
|
Magento Enterprise Edition |
1.14.4.4 |
Alla |
2 |
|
|
Magento Community Edition |
1.9.4.4 |
Alla |
2 |
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
Magento fel-ID |
CVE-nummer |
|---|---|---|---|---|
|
Lagrade serveröverskridande skriptattacker |
Exponering av känslig information |
Viktigt |
PRODSECBUG-2543 |
CVE-2020-3715 |
|
Lagrade serveröverskridande skriptattacker |
Exponering av känslig information |
Viktig |
PRODSECBUG-2599 |
CVE-2020-3758 |
|
Deserialisering av ej tillförlitliga data |
Exekvering av godtycklig kod |
Kritisk |
PRODSECBUG-2579 |
CVE-2020-3716 |
|
Path traversal |
Exponering av känslig information |
Viktig |
PRODSECBUG-2632 |
CVE-2020-3717 |
|
Kringgående av säkerhet |
Exekvering av godtycklig kod |
Kritisk |
PRODSECBUG-2633 |
CVE-2020-3718 |
|
SQL-injektion |
Exponering av känslig information |
Kritisk |
PRODSECBUG-2660 |
CVE-2020-3719 |
Tack
Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
· Ernesto Martin (CVE-2020-3715)
· Blaklis (CVE-2020-3716, CVE-2020-3717, CVE-2020-3718)
· Luke Rodgers (CVE-2020-3719)
· Djordje Marjanovic (CVE-2020-3758)
