安全性公告 ID
Magento 的安全性更新已推出 | APSB20-22
|
發佈日期 |
優先順序 |
---|---|---|
ASPB20-22 |
2020 年 4 月 28 日 |
2 |
摘要
Magento 已發佈 Magento Commerce 和 Open Source 版本的更新。 這些更新能解決「重大」、「重要」和「中度」等級的弱點 (嚴重性分級)。 一旦遭有心人士利用,可能會導致執行任意程式碼。
受影響的版本
產品 |
版本 |
平台 |
---|---|---|
Magento Commerce |
2.3.4 (含) 以前版本 |
全部 |
Magento Open Source |
2.3.4 (含) 以前版本 |
全部 |
Magento Commerce |
2.2.11 (含) 以前版本 (請見附註) |
全部 |
Magento Open Source |
2.2.11 (含) 以前版本 (請見附註) |
全部 |
Magento Enterprise Edition |
1.14.4.4 (含) 以前版本 |
全部 |
Magento Community Edition |
1.9.4.4 及舊版 |
全部 |
Magento 2.2x 支援服務已於 2019 年 12 月 31 日終止。
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。
產品 |
版本 |
平台 |
優先順序分級 |
上市情況 |
---|---|---|---|---|
Magento Commerce |
2.3.4-p2 |
全部 |
2 |
|
Magento Open Source |
2.3.4-p2 |
全部 |
2 |
|
Magento Commerce |
2.3.5-p1 |
全部 |
2 |
|
Magento Open Source |
2.3.5-p1 |
全部 |
2 |
|
Magento Enterprise Edition |
1.14.4.5 |
全部 |
2 |
|
Magento Community Edition |
1.9.4.5 |
全部 |
2 |
Magento Commerce 2.2.12 僅限享有 Commerce 延長支援的客戶使用。
弱點詳細資料
1. CVE-2020-9585 已在預設安裝中獲得緩解
2. CVE-2020-9591 只會影響 Magento 1
預先驗證身分:不需憑證即可利用弱點。
需有管理員權限:只有擁有管理權限的攻擊者可以利用弱點。
鳴謝
Adobe 在此感謝以下個人和組織提報相關問題,與 Adobe 共同保護我們的客戶:
- Blaklis (CVE-2020-9576、CVE-2020-9579、CVE-2020-9581、CVE-2020-9582、CVE-2020-9583、CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Edgar Boda-Majer (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Wasin Sae-ngow (CVE-2020-9588)
- Max Chadwick (CVE-2020-9630)
修訂
2020 年 5 月 4 日: 移除 CVE-2020-9586 的鳴謝內容
2020 年 4 月 7 日: 新增原始公告中不慎刪除的 CVE-2020-9630。
2020 年 5 月 12 日: 新增原始公告中不慎刪除的 CVE-2020-9631 和 CVE-2020-9632。