Bulletin-ID
Senast uppdaterad den
2 maj 2021
|
Gäller även Digital Editions
Säkerhetsuppdateringar för Magento | APSB20-59
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB20-59 |
15 oktober 2020 |
2 |
Sammanfattning
Berörda versioner
|
Produkt |
Version |
Plattform |
|---|---|---|
|
Magento Commerce |
2.3.5-p1 och tidigare versioner |
Alla |
|
Magento Commerce |
2.3.5-p2 och tidigare versioner |
Alla |
|
Magento Commerce |
2.4.0 och tidigare versioner |
Alla |
|
Magento Open Source |
2.3.5-p1 och tidigare versioner |
Alla |
|
Magento Open Source |
2.3.5-p2 och tidigare versioner |
Alla |
|
Magento Open Source |
2.4.0 och tidigare versioner |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
|
Produkt |
Uppdaterad version |
Plattform |
Prioritet |
Versionsinformation |
|---|---|---|---|---|
|
Magento Commerce |
2.4.1 |
Alla |
2 |
|
|
Magento Open Source |
2.4.1 |
Alla |
2 |
|
|
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Alla |
2 |
|
|
Magento Open Source |
2.3.6 |
Alla |
2 |
Sårbarhetsinformation
|
Sårbarhetskategori |
Sårbarhetens inverkan |
Allvarlighet |
Krävs administratörsbehörighet? |
Magento fel-ID |
CVE-nummer |
|
|---|---|---|---|---|---|---|
|
Åsidosätt lista över tillåtna filöverföringar |
Exekvering av godtycklig kod |
Kritisk |
Nej |
Ja |
PRODSECBUG-2799 |
CVE-2020-24407 |
|
SQL-injektion |
Godtycklig läs- eller skrivåtkomst till databasen |
Kritisk |
Nej |
Ja |
PRODSECBUG-2779 |
CVE-2020-24400 |
|
Felaktig auktorisering |
Obehörig ändring av kundlistan |
Viktig |
Nej |
Ja |
PRODSECBUG-2789 |
CVE-2020-24402 |
|
Otillräcklig verifiering av användarsession |
Obehörig åtkomst till begränsade resurser |
Viktig |
Nej |
Ja |
PRODSECBUG-2785 |
CVE-2020-24401 |
|
Felaktig auktorisering |
Otillåten ändring av Magento CMS-sidor |
Viktig |
Nej |
Ja |
PRODSECBUG-2796 |
CVE-2020-24404 |
|
Exponering av känslig information |
Information om dokumentets rotsökväg |
Måttlig |
Nej |
Ja |
PRODSECBUG-2798 |
CVE-2020-24406 |
|
Serveröverskridande skriptning (lagrad XSS) |
Godtycklig JavaScript-körning i webbläsaren |
Viktig |
Ja |
Nej |
PRODSECBUG-2804 |
CVE-2020-24408 |
|
Felaktig auktorisering |
Obehörig åtkomst till begränsade resurser |
Viktig |
Nej |
Ja |
PRODSECBUG-2797 |
CVE-2020-24405 |
|
Felaktig auktorisering |
Obehörig åtkomst till begränsade resurser |
Viktig |
Nej |
Ja |
PRODSECBUG-2791 |
CVE-2020-24403 |
Obs!
Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.
Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.
Ytterligare tekniska beskrivningar av de CVE-nummer som refereras i det här dokumentet kommer att göras tillgängliga på MITRE- och NVD-webbplatserna.
Uppdateringar av beroenden
|
Beroende |
Sårbarhetens inverkan |
Berörda versioner |
|---|---|---|
|
jQuery-filöverföring |
Exekvering av godtycklig kod |
2.4.0 och tidigare versioner |
|
TinyMCE |
Exekvering av godtyckligt JavaScript |
2.4.0 och tidigare versioner |
Tack
Adobe tackar följande för att de rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:
- Edgar Boda-Majer från Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)
