Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Magento | APSB20-22

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB20-22

den 28 april 2020      

2

Sammanfattning

Magento har släppt uppdateringar för versionerna Magento Commerce och Open Source.  Uppdateringarna åtgärdar sårbarheter som klassats som kritiska, viktiga och måttliga (allvarlighetsgrader).  Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.    

Berörda versioner

Produkt

Version

Plattform

Magento Commerce 

2.3.4 och tidigare versioner    

Alla

Magento Open Source   

2.3.4 och tidigare versioner    

Alla

Magento Commerce 

2.2.11 och tidigare versioner (se anm.)

Alla

Magento Open Source  

2.2.11 och tidigare versioner (se anm.)

Alla

Magento Enterprise Edition    

1.14.4.4 och tidigare versioner    

Alla

Magento Community Edition  

1.9.4.4 och tidigare versioner

Alla

Obs!

Stödet för Magento 2.2x upphörde 31 december 2019.

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt

Version

Plattform

Prioritet

Tillgänglighet

Magento Commerce    

2.3.4-p2

Alla

2

Magento Open Source    

2.3.4-p2

Alla

2

Magento Commerce    

2.3.5-p1

Alla

2

Magento Open Source    

2.3.5-p1

Alla

2

Magento Enterprise Edition    

1.14.4.5

Alla

2

Magento Community Edition    

1.9.4.5

Alla

2

Obs!

Magento Commerce 2.2.12 är endast tillgänglig för Commerce-kunder med utökad support.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Förautentisering? Krävs administratörsbehörighet?

Magento fel-ID CVE-nummer
Kommandoinjektion



Exekvering av godtycklig kod



Kritisk



Nej Ja PRODSECBUG-2707



CVE-2020-9576



Lagrade serveröverskridande skriptattacker    



Exponering av känslig information    



Viktigt Ja



Nej PRODSECBUG-2671



CVE-2020-9577 



Kommandoinjektion



Exekvering av godtycklig kod



Kritisk 



Nej Ja PRODSECBUG-2695



CVE-2020-9578  



Kringgående av säkerhetsriskreducering



Exekvering av godtycklig kod



Kritisk



Nej



Ja



PRODSECBUG-2696



CVE-2020-9579
Kringgående av säkerhetsriskreducering



Exekvering av godtycklig kod Kritisk



Nej



Ja



PRODSECBUG-2697



CVE-2020-9580
Lagrade serveröverskridande skriptattacker



Exponering av känslig information



Viktig



Nej



Ja



PRODSECBUG-2700



CVE-2020-9581
Kommandoinjektion



Exekvering av godtycklig kod



Kritisk



Nej



Ja



PRODSECBUG-2708



CVE-2020-9582
Kommandoinjektion



Exekvering av godtycklig kod



Kritisk



Nej



Ja



PRODSECBUG-2710



CVE-2020-9583
Lagrade serveröverskridande skriptattacker



Exponering av känslig information



Viktig



Ja



Nej



PRODSECBUG-2715



CVE-2020-9584
Djupgående säkerhetsriskreducering



Exekvering av godtycklig kod



Måttlig



Nej



Ja



PRODSECBUG-2541



CVE-2020-9585
Djupgående säkerhetsriskreducering



Obehörig åtkomst till administratörspanelen



Måttlig



Ja Ja



MPERF-10898



CVE-2020-9591



Åsidosättning av auktorisering



Potentiellt oauktoriserade produktrabatter



Måttlig



Ja



Nej



PRODSECBUG-2518



CVE-2020-9587



Märkbar tidsavvikelse Åsidosättning av signaturverifiering



Viktig



Nej



Ja



PRODSECBUG-2677



CVE-2020-9588
Affärslogikfel Eskalering av behörighet Viktigt Nej Ja PRODSECBUG-2722 CVE-2020-9630
Kringgående av säkerhetsriskreducering Exekvering av godtycklig kod Kritisk Nej Ja PRODSECBUG-2703 CVE-2020-9631
Kringgående av säkerhetsriskreducering Exekvering av godtycklig kod Kritisk Nej Ja PRODSECBUG-2704 CVE-2020-9632
Obs!

1.     CVE-2020-9585 åtgärdas i standardinstallationer

2.     CVE-2020-9591 berör endast Magento 1

Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisioner

4 maj 2020: Borttagen bekräftelse för CVE-2020-9586.

7 maj 2020: Lagt till CVE-2020-9630, som av misstag har utelämnats från den ursprungliga versionen. 

12 maj 2020: Lade till CVE-2020-9631 och CVE-2020-9632, som av misstag har utelämnats från den ursprungliga versionen. 

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online