Adobe セキュリティ速報

検索

最終更新日 : 2021年4月28日 | 次にも適用 : Digital Editions

Magento に関するセキュリティアップデート公開 | APSB20-59

情報 ID	公開日	優先度
APSB20-59	2020 年 10 月 15 日	2

要約

Magento Commerce および Magento Open Source のアップデートが公開されました。これらのアップデートにより、重要およびクリティカルに分類される脆弱性を解決します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名	更新後のバージョン	プラットフォーム	優先度評価	リリースノート
Magento Commerce	2.4.1	すべて	2	2.4.1 Commerce
Magento オープンソース	2.4.1	すべて	2	2.4.1 オープンソース

Magento Commerce	2.3.6	すべて	2	2.3.6 Commerce
Magento オープンソース	2.3.6	すべて	2	2.3.6 オープンソース

脆弱性のカテゴリー	脆弱性の影響	深刻度	事前認証？	管理者権限が必要ですか？	Magento Bug ID	CVE 番号
ファイルアップロード許可リストバイパス	任意のコード実行	クリティカル	いいえ	はい	PRODSECBUG-2799	CVE-2020-24407
SQL インジェクション	データベースへの任意の読み取り/書き込みアクセス	クリティカル	いいえ	はい	PRODSECBUG-2779	CVE-2020-24400
不適切な認証	顧客リストの不正変更	重要	いいえ	はい	PRODSECBUG-2789	CVE-2020-24402
ユーザーセッションの無効化の不備	制限されたリソースへの不正アクセス	重要	いいえ	はい	PRODSECBUG-2785	CVE-2020-24401
不適切な認証	Magento CMS ページの不正な改変	重要	いいえ	はい	PRODSECBUG-2796	CVE-2020-24404
機密情報漏えい	ドキュメントルートパスの開示	中度	いいえ	はい	PRODSECBUG-2798	CVE-2020-24406
クロスサイトスクリプティング（保存済み XSS）	ブラウザーでの任意の JavaScript 実行	重要	はい	いいえ	PRODSECBUG-2804	CVE-2020-24408
不適切な認証	制限されたリソースへの不正アクセス	重要	いいえ	はい	PRODSECBUG-2797	CVE-2020-24405
不適切な認証	制限されたリソースへの不正アクセス	重要	いいえ	はい	PRODSECBUG-2791	CVE-2020-24403

注意：

事前認証：この脆弱性は、資格情報がない場合に不正利用可能です。

必要な管理者権限：この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。

この文書で参照されている CVE の技術的な詳細は、MITRE および NVD サイトで公開されています。

依存関係	脆弱性の影響	対象のバージョン
jQuery ファイルのアップロード	任意のコード実行	2.4.0 以前のバージョン
TinyMCE	任意の JavaScript 実行	2.4.0 以前のバージョン