Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
|
Также применяется к Digital Editions
Обновления системы безопасности для Magento | APSB20-22
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
ASPB20-22 |
28 апреля 2020 г. |
2 |
Сводка
Компания Magento выпустила обновления для версий Magento Commerce и Open SourceЭти обновления позволяют устранить уязвимости, классифицируемые как Критические, Важные и Средние (по уровню опасности).При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.
Затрагиваемые версии
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Magento Commerce |
2.3.4 и более ранние версии |
Все |
|
Magento Open Source |
2.3.4 и более ранние версии |
Все |
|
Magento Commerce |
2.2.11 и более ранние версии (см. примечание) |
Все |
|
Magento Open Source |
2.2.11 и более ранние версии (см. примечание) |
Все |
|
Magento Enterprise Edition |
1.14.4.4 и более ранние версии |
Все |
|
Magento Community Edition |
1.9.4.4 и более ранние версии |
Все |
Примечание.
Поддержка Magento 2.2x прекращена 31 декабря 2019 г.
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Продукт |
Версия |
Платформа |
Приоритет Рейтинг |
Доступность |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
Все |
2 |
|
|
Magento Open Source |
2.3.4-p2 |
Все |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
Все |
2 |
|
|
Magento Open Source |
2.3.5-p1 |
Все |
2 |
|
|
Magento Enterprise Edition |
1.14.4.5 |
Все |
2 |
|
|
Magento Community Edition |
1.9.4.5 |
Все |
2 |
Примечание.
Magento Commerce 2.2.12 предоставляется исключительно для обеспечения расширенной поддержки пользователей Commerce.
Сведения об уязвимости
Примечание.
1. Уязвимость CVE-2020-9585 отсутствует при установке по умолчанию
2. Уязвимость CVE-2020-9591 существует исключительно в Magento 1
Примечание.
Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.
Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.
Благодарности
Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
- Flatmoon (CVE-2020-9577)
- Y0natan (CVE-2020-9578)
- Эдгар Бода-Майер (CVE-2020-9580)
- Qubitz (CVE-2020-9585)
- Magnusg (CVE-2020-9587)
- Васин Сае-нгоу (CVE-2020-9588)
- Макс Чедвик (CVE-2020-9630)
Редакции
4 мая 2020 г.: удалена благодарность за CVE-2020-9586.
7 мая 2020 г.: добавлена проблема CVE-2020-9630, которая случайно была исключена из первоначальной версии.
12 мая 2020 г.: добавлены проблемы CVE-2020-9631 и CVE-2020-9632, которые случайно были исключены из первоначальной версии.