Adobe-säkerhetsbulletin

Sök

Säkerhetsuppdateringar för Magento | APSB20-22

Bulletin-ID

Publiceringsdatum

Prioritet

ASPB20-22

den 28 april 2020      

2

Sammanfattning

Magento har släppt uppdateringar för versionerna Magento Commerce och Open Source.  Uppdateringarna åtgärdar sårbarheter som klassats som kritiska, viktiga och måttliga (allvarlighetsgrader).  Ett framgångsrikt utnyttjande kan leda till exekvering av godtycklig kod.    

Berörda versioner

Produkt

Version

Plattform

Magento Commerce 

2.3.4 och tidigare versioner    

Alla

Magento Open Source   

2.3.4 och tidigare versioner    

Alla

Magento Commerce 

2.2.11 och tidigare versioner (se anm.)

Alla

Magento Open Source  

2.2.11 och tidigare versioner (se anm.)

Alla

Magento Enterprise Edition    

1.14.4.4 och tidigare versioner    

Alla

Magento Community Edition  

1.9.4.4 och tidigare versioner

Alla
Obs!

Stödet för Magento 2.2x upphörde 31 december 2019.

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.

Produkt

Version

Plattform

Prioritet

Tillgänglighet

Magento Commerce    

2.3.4-p2

Alla

2

2.3.4-p2 Commerce

Magento Open Source    

2.3.4-p2

Alla

2

2.3.4-p2 Open Source

Magento Commerce    

2.3.5-p1

Alla

2

2.3.5 Commerce

Magento Open Source    

2.3.5-p1

Alla

2

2.3.5 Open Source

Magento Enterprise Edition    

1.14.4.5

Alla

2

1.14.4.5

Magento Community Edition    

1.9.4.5

Alla

2

1.9.4.5
Obs!

Magento Commerce 2.2.12 är endast tillgänglig för Commerce-kunder med utökad support.

Sårbarhetsinformation

Sårbarhetskategori Sårbarhetens inverkan Allvarlighet Förautentisering? Krävs administratörsbehörighet?

 Magento fel-ID CVE-nummer
Kommandoinjektion



 Exekvering av godtycklig kod



 Kritisk



 Nej Ja PRODSECBUG-2707



 CVE-2020-9576
Lagrade serveröverskridande skriptattacker    



 Exponering av känslig information    



 Viktigt Ja



 Nej PRODSECBUG-2671



 CVE-2020-9577 
Kommandoinjektion



 Exekvering av godtycklig kod



 Kritisk 



 Nej Ja PRODSECBUG-2695



 CVE-2020-9578  
Kringgående av säkerhetsriskreducering



 Exekvering av godtycklig kod



 Kritisk



 Nej



 Ja



 PRODSECBUG-2696



 CVE-2020-9579
Kringgående av säkerhetsriskreducering



 Exekvering av godtycklig kod Kritisk



 Nej



 Ja



 PRODSECBUG-2697



 CVE-2020-9580
Lagrade serveröverskridande skriptattacker



 Exponering av känslig information



 Viktig



 Nej



 Ja



 PRODSECBUG-2700



 CVE-2020-9581
Kommandoinjektion



 Exekvering av godtycklig kod



 Kritisk



 Nej



 Ja



 PRODSECBUG-2708



 CVE-2020-9582
Kommandoinjektion



 Exekvering av godtycklig kod



 Kritisk



 Nej



 Ja



 PRODSECBUG-2710



 CVE-2020-9583
Lagrade serveröverskridande skriptattacker



 Exponering av känslig information



 Viktig



 Ja



 Nej



 PRODSECBUG-2715



 CVE-2020-9584
Djupgående säkerhetsriskreducering



 Exekvering av godtycklig kod



 Måttlig



 Nej



 Ja



 PRODSECBUG-2541



 CVE-2020-9585
Djupgående säkerhetsriskreducering



 Obehörig åtkomst till administratörspanelen



 Måttlig



 Ja Ja



 MPERF-10898



 CVE-2020-9591
Åsidosättning av auktorisering



 Potentiellt oauktoriserade produktrabatter



 Måttlig



 Ja



 Nej



 PRODSECBUG-2518



 CVE-2020-9587
Märkbar tidsavvikelse Åsidosättning av signaturverifiering



 Viktig



 Nej



 Ja



 PRODSECBUG-2677



 CVE-2020-9588
Affärslogikfel Eskalering av behörighet Viktigt Nej Ja PRODSECBUG-2722 CVE-2020-9630
Kringgående av säkerhetsriskreducering Exekvering av godtycklig kod Kritisk Nej Ja PRODSECBUG-2703 CVE-2020-9631
Kringgående av säkerhetsriskreducering Exekvering av godtycklig kod Kritisk Nej Ja PRODSECBUG-2704 CVE-2020-9632
Obs!

1.     CVE-2020-9585 åtgärdas i standardinstallationer

2.     CVE-2020-9591 berör endast Magento 1

Obs!

Förautentisering: Säkerhetsluckan kan utnyttjas utan referenser.   

Administratörsbehörighet krävs: Säkerhetsluckan kan bara utnyttjas av en angripare med administratörsbehörighet.  

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor:  

  • Blaklis (CVE-2020-9576, CVE-2020-9579, CVE-2020-9581, CVE-2020-9582, CVE-2020-9583, CVE-2020-9584)
  • Flatmoon (CVE-2020-9577)
  • Y0natan (CVE-2020-9578)
  • Edgar Boda-Majer (CVE-2020-9580)
  • Qubitz (CVE-2020-9585)
  • Magnusg (CVE-2020-9587)
  • Wasin Sae-ngow (CVE-2020-9588)
  • Max Chadwick (CVE-2020-9630)

 

Revisioner

4 maj 2020: Borttagen bekräftelse för CVE-2020-9586.

7 maj 2020: Lagt till CVE-2020-9630, som av misstag har utelämnats från den ursprungliga versionen. 

12 maj 2020: Lade till CVE-2020-9631 och CVE-2020-9632, som av misstag har utelämnats från den ursprungliga versionen. 

Få hjälp snabbare och enklare

Ny användare?

Snabblänkar

Visa alla dina planer Hantera dina planer
Visa snabblänkar
Dölj snabblänkar

Ställ en fråga i användarforumet

Ställ frågor och få svar från experterna.

Fråga nu

Kontakta oss

Få hjälp från andra personer.

Starta nu
^ Överst