Бюллетень безопасности Adobe

Поиск

Обновления системы безопасности для Magento | APSB20-22

Идентификатор бюллетеня

Дата публикации

Приоритет

ASPB20-22

28 апреля 2020 г.      

2

Сводка

Компания Magento выпустила обновления для версий Magento Commerce и Open SourceЭти обновления позволяют устранить уязвимости, классифицируемые как Критические, Важные и Средние (по уровню опасности).При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.    

Затрагиваемые версии

Продукт

Версия

Платформа

Magento Commerce 

2.3.4 и более ранние версии    

Все

Magento Open Source   

2.3.4 и более ранние версии    

Все

Magento Commerce 

2.2.11 и более ранние версии (см. примечание)

Все

Magento Open Source  

2.2.11 и более ранние версии (см. примечание)

Все

Magento Enterprise Edition    

1.14.4.4 и более ранние версии    

Все

Magento Community Edition  

1.9.4.4 и более ранние версии

Все
Примечание.

Поддержка Magento 2.2x прекращена 31 декабря 2019 г.

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт

Версия

Платформа

Приоритет Рейтинг

Доступность

Magento Commerce    

2.3.4-p2

Все

2

2.3.4-p2 Commerce

Magento Open Source    

2.3.4-p2

Все

2

2.3.4-p2 Open Source

Magento Commerce    

2.3.5-p1

Все

2

2.3.5 Commerce

Magento Open Source    

2.3.5-p1

Все

2

2.3.5 Open Source

Magento Enterprise Edition    

1.14.4.5

Все

2

1.14.4.5

Magento Community Edition    

1.9.4.5

Все

2

1.9.4.5
Примечание.

Magento Commerce 2.2.12 предоставляется исключительно для обеспечения расширенной поддержки пользователей Commerce.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Предварительная проверка подлинности? Требуются права администратора?

 Magento Bug ID Номера CVE
Вставка команды



 Выполнение произвольного кода



 Критическая



 Нет Да PRODSECBUG-2707



 CVE-2020-9576
Сохраненный межсайтовый скриптинг    



 Раскрытие конфиденциальной информации    



 Важная Да



 Нет PRODSECBUG-2671



 CVE-2020-9577 
Вставка команды



 Выполнение произвольного кода



 Критическая 



 Нет Да PRODSECBUG-2695



 CVE-2020-9578  
Обход системы безопасности



 Выполнение произвольного кода



 Критическая



 Нет



 Да



 PRODSECBUG-2696



 CVE-2020-9579
Обход системы безопасности



 Выполнение произвольного кода Критическая



 Нет



 Да



 PRODSECBUG-2697



 CVE-2020-9580
Сохраненный межсайтовый скриптинг



 Раскрытие конфиденциальной информации



 Важная



 Нет



 Да



 PRODSECBUG-2700



 CVE-2020-9581
Вставка команды



 Выполнение произвольного кода



 Критическая



 Нет



 Да



 PRODSECBUG-2708



 CVE-2020-9582
Вставка команды



 Выполнение произвольного кода



 Критическая



 Нет



 Да



 PRODSECBUG-2710



 CVE-2020-9583
Сохраненный межсайтовый скриптинг



 Раскрытие конфиденциальной информации



 Важная



 Да



 Нет



 PRODSECBUG-2715



 CVE-2020-9584
Многоуровневая система безопасности



 Выполнение произвольного кода



 Средняя



 Нет



 Да



 PRODSECBUG-2541



 CVE-2020-9585
Многоуровневая система безопасности



 Несанкционированный доступ к панели администрирования



 Средняя



 Да Да



 MPERF-10898



 CVE-2020-9591
Обход авторизации



 Потенциально несанкционированные скидки на продукты



 Средняя



 Да



 Нет



 PRODSECBUG-2518



 CVE-2020-9587
Наблюдаемое рассогласование по времени Обход проверки подписи



 Важная



 Нет



 Да



 PRODSECBUG-2677



 CVE-2020-9588
Ошибка бизнес-логики Повышение уровня полномочий Важная Нет Да PRODSECBUG-2722 CVE-2020-9630
Обход системы безопасности Выполнение произвольного кода Критическая Нет Да PRODSECBUG-2703 CVE-2020-9631
Обход системы безопасности Выполнение произвольного кода Критическая Нет Да PRODSECBUG-2704 CVE-2020-9632
Примечание.

1.     Уязвимость CVE-2020-9585 отсутствует при установке по умолчанию

2.     Уязвимость CVE-2020-9591 существует исключительно в Magento 1

Примечание.

Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.   

Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.  

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Эдгар Бода-Майер (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Васин Сае-нгоу (CVE-2020-9588)
  • Макс Чедвик (CVE-2020-9630)

 

Редакции

4 мая 2020 г.: удалена благодарность за CVE-2020-9586.

7 мая 2020 г.: добавлена проблема CVE-2020-9630, которая случайно была исключена из первоначальной версии. 

12 мая 2020 г.: добавлены проблемы CVE-2020-9631 и CVE-2020-9632, которые случайно были исключены из первоначальной версии. 

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?

Ссылки быстрого перехода

Просмотреть все свои планы Управление планами
Просмотреть ссылки быстрого доступа
Скрыть ссылки быстрого доступа
Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Зарегистрироваться

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Зарегистрироваться
Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Зарегистрироваться

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Зарегистрироваться

Вопросы сообществу

Получайте помощь от экспертов по интересующим вас вопросам.

Задайте вопрос

Свяжитесь с нами

Реальная помощь от реальных людей.

Начать
^ Наверх