Bulletin-ID
Säkerhetsuppdateringar för Magento | APSB20-47
Bulletin-ID |
Publiceringsdatum |
Prioritet |
---|---|---|
ASPB20-47 |
28 juli 2020 |
2 |
Magento har släppt uppdateringar för Magento Commerce 2 (tidigare Magento Enterprise Edition) och Magento Open Source 2 (tidigare Magento Community Edition). Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och kritiska . Ett lyckat utnyttjande kan leda till att godtycklig kodkörning och signaturverifiering kringgås.
Produkt |
Version |
Plattform |
---|---|---|
Magento Commerce 2 |
2.3.5-p1 och tidigare versioner |
Alla |
Magento Open Source 2 |
2.3.5-p1 och tidigare versioner |
Alla |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Produkt |
Uppdaterad version |
Plattform |
Prioritet |
Versionsinformation |
---|---|---|---|---|
Magento Commerce 2 |
2.4.0 |
Alla |
2 |
|
Magento Open Source 2 |
2.4.0 |
Alla |
2 |
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alla |
2 |
N/A |
Magento Open Source 2 |
2.3.5-p2 |
Alla |
2 |
N/A |
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
Krävs administratörsbehörighet? |
Magento fel-ID |
CVE-nummer |
|
---|---|---|---|---|---|---|
Path traversal |
Exekvering av godtycklig kod |
Kritisk |
Nej |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
Märkbar tidsavvikelse |
Åsidosättning av signaturverifiering |
Viktigt |
Nej |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
DOM-baserad cross-site scripting |
Exekvering av godtycklig kod |
Viktigt |
Ja |
Nej |
PRODSECBUG-2533 |
CVE-2020-9691 |
Kringgående av säkerhetsriskreducering |
Exekvering av godtycklig kod |
Kritisk |
Nej |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.
Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.
Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
Logga in på ditt konto