Adobe-säkerhetsbulletin

Säkerhetsuppdateringar för Magento | APSB20-47

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB20-47

28 juli 2020      

2

Sammanfattning

Magento har släppt uppdateringar för Magento Commerce 2 (tidigare Magento Enterprise Edition) och Magento Open Source 2 (tidigare Magento Community Edition). Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och kritiska .  Ett lyckat utnyttjande kan leda till att godtycklig kodkörning och signaturverifiering kringgås.





Berörda versioner

Produkt

Version

Plattform

Magento Commerce 2

2.3.5-p1 och tidigare versioner 

Alla

Magento Open Source 2

2.3.5-p1 och tidigare versioner

Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt

Uppdaterad version

Plattform

Prioritet

Versionsinformation

Magento Commerce 2

2.4.0

Alla

2

Magento Open Source 2

2.4.0

Alla

2

 

 

 

 

 

Magento Commerce 2

2.3.5-p2

Alla

2

N/A

Magento Open Source 2

2.3.5-p2

Alla

2

N/A

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

Förautentisering?

Krävs administratörsbehörighet?

Magento fel-ID

CVE-nummer

Path traversal

Exekvering av godtycklig kod

Kritisk

Nej

Ja

PRODSECBUG-2716 

CVE-2020-9689

Märkbar tidsavvikelse

Åsidosättning av signaturverifiering

Viktigt

Nej

Ja

PRODSECBUG-2726

CVE-2020-9690

DOM-baserad cross-site scripting

Exekvering av godtycklig kod

Viktigt

Ja

Nej

PRODSECBUG-2533 

CVE-2020-9691

Kringgående av säkerhetsriskreducering

Exekvering av godtycklig kod

Kritisk

Nej

Ja

PRODSECBUG-2769 

CVE-2020-9692 

Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Tack

Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:   

  • Edgar Boda-Majer från Bugscale och Blaklis (CVE-2020-9689)
  • Wasin Sae-ngow (CVE-2020-9690)
  • Linus Särud (CVE-2020-9691) 
  • Edgar Boda-Majer från Bugscale (CVE-2020-9692)

Revisioner

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online