Bülten No
Son güncelleme:
21 May 2021
|
Ayrıca şunun için geçerlidir: Digital Editions
Magento için güvenlik güncellemeleri mevcut | APSB20-59
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB20-59 |
15 Ekim 2020 |
2 |
Özet
Etkilenen Sürümler
|
Ürün |
Sürüm |
Platform |
|---|---|---|
|
Magento Commerce |
2.3.5-p1 ve önceki sürümler |
Tümü |
|
Magento Commerce |
2.3.5-p2 ve önceki sürümler |
Tümü |
|
Magento Commerce |
2.4.0 ve önceki sürümler |
Tümü |
|
Magento Open Source |
2.3.5-p1 ve önceki sürümler |
Tümü |
|
Magento Open Source |
2.3.5-p2 ve önceki sürümler |
Tümü |
|
Magento Open Source |
2.4.0 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
|
Ürün |
Güncellenen Sürüm |
Platform |
Öncelik Derecelendirme |
Sürüm Notları |
|---|---|---|---|---|
|
Magento Commerce |
2.4.1 |
Tümü |
2 |
|
|
Magento Open Source |
2.4.1 |
Tümü |
2 |
|
|
|
|
|
|
|
|
Magento Commerce |
2.3.6 |
Tümü |
2 |
|
|
Magento Open Source |
2.3.6 |
Tümü |
2 |
Güvenlik açığı detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
Yönetici ayrıcalıkları gerekli? |
Magento Bug ID |
CVE numaraları |
|
|---|---|---|---|---|---|---|
|
Dosya Yükleme İzin Verilenler Listesi Baypası |
Rastgele kod yürütme |
Kritik |
Hayır |
Evet |
PRODSECBUG-2799 |
CVE-2020-24407 |
|
SQL Saldırısı |
Veritabanına gelişigüzel okuma veya yazma erişimi |
Kritik |
Hayır |
Evet |
PRODSECBUG-2779 |
CVE-2020-24400 |
|
Uygunsuz Yetkilendirme |
Müşteri listesinin yetkisiz şekilde değiştirilmesi |
Önemli |
Hayır |
Evet |
PRODSECBUG-2789 |
CVE-2020-24402 |
|
Kullanıcı Oturumunun Yetersiz Şekilde Doğrulanması |
Kısıtlı kaynaklara yetkisiz erişim |
Önemli |
Hayır |
Evet |
PRODSECBUG-2785 |
CVE-2020-24401 |
|
Uygunsuz Yetkilendirme |
Magento CMS sayfalarının yetkisiz değiştirilmesi |
Önemli |
Hayır |
Evet |
PRODSECBUG-2796 |
CVE-2020-24404 |
|
Hassas Bilgi İfşası |
Belge kök adresinin ifşa edilmesi |
Orta Dereceli |
Hayır |
Evet |
PRODSECBUG-2798 |
CVE-2020-24406 |
|
Çapraz Site Dizgeleme (Saklanmış XSS) |
Tarayıcıda gelişigüzel JavaScript çalıştırma |
Önemli |
Evet |
Hayır |
PRODSECBUG-2804 |
CVE-2020-24408 |
|
Uygunsuz Yetkilendirme |
Kısıtlı kaynaklara yetkisiz erişim |
Önemli |
Hayır |
Evet |
PRODSECBUG-2797 |
CVE-2020-24405 |
|
Uygunsuz Yetkilendirme |
Kısıtlı kaynaklara yetkisiz erişim |
Önemli |
Hayır |
Evet |
PRODSECBUG-2791 |
CVE-2020-24403 |
Bağlılık güncellemeleri
|
Bağlılık |
Güvenlik Açığı Etkisi |
Etkilenen Sürümler |
|---|---|---|
|
JQuery Dosya Yükleme |
Rastgele kod yürütme |
2.4.0 ve önceki sürümler |
|
TinyMCE |
Gelişigüzel JavaScript yürütme |
2.4.0 ve önceki sürümler |
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Edgar Boda-Majer, Bugscale (CVE-2020-24408)
- Kien Hoang (CVE-2020-24402, CVE-2020-24401, CVE-2020-24404, CVE-2020-24405)
- Ihorsv (CVE-2020-24406)
- Malerisch (CVE-2020-24407)
- Dang Toan (CVE-2020-24403)
- Yonatan Offek (CVE-2020-24400)
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi
Adobe MAX
Yaratıcılık Konferansı
14–16 Ekim Miami Beach ve çevrimiçi