Идентификатор бюллетеня
Последнее обновление
21 мая 2021 г.
|
Также применяется к Digital Editions
Обновления системы безопасности для Magento | APSB20-47
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
ASPB20-47 |
28 июля 2020 г. |
2 |
Сводка
Компания Magento выпустила обновления для Magento Commerce 2 (ранее называлась Magento Enterprise Edition) и Magento Open Source 2 (ранее называлась Magento Community Edition).В этих обновлениях устранены уязвимости, которые классифицируются как важные и критические. При успешном использовании эта уязвимость могла привести к выполнению произвольного кода и обходу проверки подписи.
Затрагиваемые версии
|
Продукт |
Версия |
Платформа |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 и более ранние версии |
Все |
|
Magento Open Source 2 |
2.3.5-p1 и более ранние версии |
Все |
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
|
Продукт |
Обновленная версия |
Платформа |
Приоритет Рейтинг |
Сведения о выпуске |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
Все |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
Все |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
Все |
2 |
Нет |
|
Magento Open Source 2 |
2.3.5-p2 |
Все |
2 |
Нет |
Сведения об уязвимости
|
Категория уязвимости |
Влияние уязвимости |
Серьезность |
Требуются права администратора? |
Magento Bug ID |
Номера CVE |
|
|---|---|---|---|---|---|---|
|
Обход каталога |
Выполнение произвольного кода |
Критическая |
Нет |
Да |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
Наблюдаемое рассогласование по времени |
Обход проверки подписи |
Важная |
Нет |
Да |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
Сценарии междоменного вызова на основе DOM |
Выполнение произвольного кода |
Важная |
Да |
Нет |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
Обход системы безопасности |
Выполнение произвольного кода |
Критическая |
Нет |
Да |
PRODSECBUG-2769 |
CVE-2020-9692 |
Примечание.
Предварительная проверка подлинности: данную уязвимость можно использовать без учетных данных.
Требуются полномочия администратора: уязвимость можно использовать только в том случае, если злоумышленник обладает полномочиями администратора.
Благодарности
Компания Adobe приносит следующим людям благодарность за сообщение о значимых проблемах и за помощь Adobe в обеспечении защиты наших клиентов:
- Эдгар Бода-Майер, Bugscale и Blaklis (CVE-2020-9689)
- Васин Сае-нгоу (CVE-2020-9690)
- Линус Саруд (CVE-2020-9691)
- Эдгар Бода-Майер, Bugscale (CVE-2020-9692)