Bulletin-ID
Senast uppdaterad den
2 maj 2021
|
Gäller även Digital Editions
Säkerhetsuppdateringar för Magento | APSB20-47
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
ASPB20-47 |
28 juli 2020 |
2 |
Sammanfattning
Magento har släppt uppdateringar för Magento Commerce 2 (tidigare Magento Enterprise Edition) och Magento Open Source 2 (tidigare Magento Community Edition). Uppdateringarna åtgärdar säkerhetsluckor som klassats som viktiga och kritiska . Ett lyckat utnyttjande kan leda till att godtycklig kodkörning och signaturverifiering kringgås.
Berörda versioner
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 och tidigare versioner |
Alla |
|
Magento Open Source 2 |
2.3.5-p1 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
|
Produkt |
Uppdaterad version |
Plattform |
Prioritet |
Versionsinformation |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Alla |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Alla |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Alla |
2 |
N/A |
|
Magento Open Source 2 |
2.3.5-p2 |
Alla |
2 |
N/A |
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
Krävs administratörsbehörighet? |
Magento fel-ID |
CVE-nummer |
|
|---|---|---|---|---|---|---|
|
Path traversal |
Exekvering av godtycklig kod |
Kritisk |
Nej |
Ja |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Märkbar tidsavvikelse |
Åsidosättning av signaturverifiering |
Viktigt |
Nej |
Ja |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
DOM-baserad cross-site scripting |
Exekvering av godtycklig kod |
Viktigt |
Ja |
Nej |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Kringgående av säkerhetsriskreducering |
Exekvering av godtycklig kod |
Kritisk |
Nej |
Ja |
PRODSECBUG-2769 |
CVE-2020-9692 |
Obs!
Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.
Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.
Tack
Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Edgar Boda-Majer från Bugscale och Blaklis (CVE-2020-9689)
- Wasin Sae-ngow (CVE-2020-9690)
- Linus Särud (CVE-2020-9691)
- Edgar Boda-Majer från Bugscale (CVE-2020-9692)
