Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
|
Также применяется к Digital Editions
Обновления системы безопасности для Magento | APSB20-41
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
ASPB20-41 |
22 июня 2020 г. |
2 |
Сводка
Компания Magento выпустила обновления для версий Magento Commerce 1 и Magento Open Source 1. В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические.При успешном использовании эти уязвимости могли привести к выполнению произвольного кода.
Поддержка Magento Commerce 1.14 и Magento Open Source 1 прекращается в июне 2020 г. Это будут последние исправления безопасности, которые предлагаются для данных версий.
Примечание.
Magento Commerce 1 ранее называлась Magento Enterprise Edition, а Magento Open Source 1 ранее называлась Magento Community Edition.
Затрагиваемые версии
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Magento Commerce 1 |
1.14.4.5 и более ранние версии |
Все |
|
Magento Open Source 1 |
1.9.4.5 и более ранние версии |
Все |
Примечание.
Эти уязвимости не затрагивают Magento Commerce или Magento Open Source.
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Продукт |
Версия |
Платформа |
Приоритет Рейтинг |
Доступность |
|---|---|---|---|---|
|
Magento Commerce 1 |
SUPEE-11346 |
Все |
2 |
Моя учетная запись > вкладка "Загрузки" > Magento Commerce 1.X > Magento Commerce 1.x > Поддержка и исправления безопасности > Исправления безопасности > Безопасность |
|
Magento Open Source 1 |
SUPEE-11346 |
Все |
2 |
Страница загрузки Magento Open Source > вкладка "Архив выпусков" > раздел "Magento Open Source Patches - 1.x" |
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Требуются права администратора? |
Magento Bug ID |
Номера CVE |
|
|---|---|---|---|---|---|---|
|
Вставка объекта PHP |
Выполнение произвольного кода |
Критическая |
Нет |
Да |
PRODSECBUG-2758 |
CVE-2020-9664 |
|
Сохраненный межсайтовый скриптинг |
Раскрытие конфиденциальной информации |
Важная |
Нет |
Да |
PRODSECBUG-2759 |
CVE-2020-9665 |
Примечание.
Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.
Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.
Благодарности
Компания Adobe выражает благодарность Люку Роджерсу за сообщение об этих проблемах и помощь Adobe в обеспечении защиты наших клиентов.