安全性公告 ID
上次更新時間
2021年4月29日
|
亦適用於 Digital Editions
發佈 Magento 的安全性更新 | APSB20-59
|
|
發佈日期 |
優先順序 |
|---|---|---|
|
APSB20-59 |
2020 年 10 月 15 日 |
2 |
摘要
受影響的版本
|
產品 |
版本 |
平台 |
|---|---|---|
|
Magento Commerce |
2.3.5-p1 (含) 以前版本 |
全部 |
|
Magento Commerce |
2.3.5-p2 (含) 以前版本 |
全部 |
|
Magento Commerce |
2.4.0 (含) 以前版本 |
全部 |
|
Magento Open Source |
2.3.5-p1 (含) 以前版本 |
全部 |
|
Magento Open Source |
2.3.5-p2 (含) 以前版本 |
全部 |
|
Magento Open Source |
2.4.0 (含) 以前版本 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本。
|
產品 |
已更新的版本 |
平台 |
優先順序分級 |
發行說明 |
|---|---|---|---|---|
|
Magento Commerce |
2.4.1 |
全部 |
2 |
|
|
Magento Open Source |
2.4.1 |
全部 |
2 |
|
|
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
全部 |
2 |
|
|
Magento Open Source |
2.3.6 |
全部 |
2 |
弱點詳細資料
|
弱點類別 |
弱點影響 |
嚴重性 |
需有管理員權限? |
Magento 錯誤 ID |
CVE 編號 |
|
|---|---|---|---|---|---|---|
|
檔案上傳允許清單 Bypass |
任意執行程式碼 |
重大 |
否 |
是 |
PRODSECBUG-2799 |
CVE-2020-24407 |
|
SQL 插入 |
任意讀取或寫入資料庫 |
重大 |
否 |
是 |
PRODSECBUG-2779 |
CVE-2020-24400 |
|
不當授權 |
未經授權擅自修改客戶清單 |
重要 |
否 |
是 |
PRODSECBUG-2789 |
CVE-2020-24402 |
|
使用者工作階段未完全失效 |
未經授權逕自存取受限制的資源 |
重要 |
否 |
是 |
PRODSECBUG-2785 |
CVE-2020-24401 |
|
不當授權 |
未經授權逕自修改 Magento CMS 頁面 |
重要 |
否 |
是 |
PRODSECBUG-2796 |
CVE-2020-24404 |
|
揭露敏感資訊 |
揭露文件根路徑 |
中度 |
否 |
是 |
PRODSECBUG-2798 |
CVE-2020-24406 |
|
跨網站指令碼 (已儲存 XSS) |
在瀏覽器中任意執行 JavaScript |
重要 |
是 |
否 |
PRODSECBUG-2804 |
CVE-2020-24408 |
|
不當授權 |
未經授權逕自存取受限制的資源 |
重要 |
否 |
是 |
PRODSECBUG-2797 |
CVE-2020-24405 |
|
不當授權 |
未經授權逕自存取受限制的資源 |
重要 |
否 |
是 |
PRODSECBUG-2791 |
CVE-2020-24403 |
相依性更新
|
相依性 |
弱點影響 |
受影響的版本 |
|---|---|---|
|
jQuery 檔案上傳 |
任意執行程式碼 |
2.4.0 (含) 以前版本 |
|
TinyMCE |
任意執行 JavaScript |
2.4.0 (含) 以前版本 |
鳴謝
Adobe 在此感謝以下人員提報相關問題,與 Adobe 共同保護客戶:
- Bugscale 的 Edgar Boda-Majer (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402、CVE-2020-24401、CVE-2020-24404、CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)
