Adobe Güvenlik Bülteni

Magento için güvenlik güncellemeleri mevcut | APSB20-59

Bülten No

Yayınlandığı Tarih

Öncelik

APSB20-59

15 Ekim 2020      

2

Özet

Magento, Magento Commerce ve Magento Open Source sürümleri için güncellemeler yayınladı. Bu güncellemeler önemli ve kritik güvenlik açıklıklarını giderir. Bu açıkların başarılı bir şekilde suistimal edilmesi, rastgele kod çalıştırmaya neden olabilir.    

Etkilenen Sürümler

Ürün

Sürüm

Platform

Magento Commerce

2.3.5-p1 ve önceki sürümler  

Tümü

Magento Commerce 

2.3.5-p2 ve önceki sürümler  

Tümü

Magento Commerce 

2.4.0 ve önceki sürümler 

Tümü

Magento Open Source 

2.3.5-p1 ve önceki sürümler

Tümü

Magento Open Source 

2.3.5-p2 ve önceki sürümler

Tümü

Magento Open Source 

2.4.0 ve önceki sürümler 

Tümü

Çözüm

Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.

Ürün

Güncellenen Sürüm

Platform

Öncelik Derecelendirme

Sürüm Notları

Magento Commerce 

2.4.1

Tümü

2

Magento Open Source 

2.4.1

Tümü

2

 

 

 

 

 

Magento Commerce 

2.3.6

Tümü

2

Magento Open Source 

2.3.6

Tümü

2

Güvenlik açığı detayları

Güvenlik Açığı Kategorisi

Güvenlik Açığı Etkisi

Önem Derecesi

Ön kimlik doğrulama?

Yönetici ayrıcalıkları gerekli?

Magento Bug ID

CVE numaraları

Dosya Yükleme İzin Verilenler Listesi Baypası

Rastgele kod yürütme 

Kritik 

Hayır

Evet

PRODSECBUG-2799

CVE-2020-24407

SQL Saldırısı

Veritabanına gelişigüzel okuma veya yazma erişimi

Kritik 

Hayır

Evet

PRODSECBUG-2779

CVE-2020-24400

Uygunsuz Yetkilendirme

Müşteri listesinin yetkisiz şekilde değiştirilmesi

Önemli

Hayır

Evet

PRODSECBUG-2789

CVE-2020-24402

Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması

Kısıtlı kaynaklara yetkisiz erişim

Önemli

Hayır

Evet

PRODSECBUG-2785

CVE-2020-24401

Uygunsuz Yetkilendirme

Magento CMS sayfalarının yetkisiz değiştirilmesi

Önemli

Hayır

Evet

PRODSECBUG-2796

CVE-2020-24404

Hassas Bilgi İfşası

Belge kök adresinin ifşa edilmesi

Orta Dereceli

Hayır

Evet

PRODSECBUG-2798

CVE-2020-24406

Çapraz Site Dizgeleme (Saklanmış XSS)

Tarayıcıda gelişigüzel JavaScript çalıştırma

Önemli

Evet

Hayır

PRODSECBUG-2804

CVE-2020-24408

Uygunsuz Yetkilendirme

Kısıtlı kaynaklara yetkisiz erişim

Önemli

Hayır

Evet

PRODSECBUG-2797

CVE-2020-24405

Uygunsuz Yetkilendirme

Kısıtlı kaynaklara yetkisiz erişim

Önemli

Hayır

Evet

PRODSECBUG-2791

CVE-2020-24403

Not:

Ön kimlik doğrulama: Bu güvenlik açığı ayrıcalık olmadan kullanılabilir.   

Yönetici ayrıcalıkları gerekli: Güvenlik açığı yalnızca yönetici ayrıcalıklarına sahip saldırganlar tarafından kullanılabilir.  

Bu belgede geçen CVE'lerin ek teknik açıklamaları MITRE ve NVD sitelerinde mevcut olacaktır.

Bağlılık güncellemeleri

Bağlılık

Güvenlik Açığı Etkisi

Etkilenen Sürümler

JQuery Dosya Yükleme

Rastgele kod yürütme 

2.4.0 ve önceki sürümler 

TinyMCE

Gelişigüzel JavaScript yürütme

2.4.0 ve önceki sürümler 

Teşekkür

Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:   

  • Edgar Boda-Majer, Bugscale (CVE-2020-24408) 
  • Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
  • Ihorsv (CVE-2020-24406) 
  • Malerisch (CVE-2020-24407)
  • Dang Toan (CVE-2020-24403)
  • Yonatan Offek (CVE-2020-24400)
Adobe logosu

Hesabınıza giriş yapın