情報 ID
最終更新日 :
2021年4月28日
|
次にも適用 : Digital Editions
Magento に関するセキュリティアップデート公開 | APSB20-22
|
|
公開日 |
優先度 |
|---|---|---|
|
ASPB20-22 |
2020 年 4 月 28 日 |
2 |
要約
Magento Commerce および Open Source エディションのアップデートが公開されました。このアップデートは、クリティカル、重要、中度(深刻度)に分類された脆弱性を解消します。この脆弱性が悪用されると、任意のコードが実行されるおそれがあります。
影響を受けるバージョン
|
製品名 |
バージョン |
プラットフォーム |
|---|---|---|
|
Magento Commerce |
2.3.4 とそれ以前のバージョン |
すべて |
|
Magento オープンソース |
2.3.4 とそれ以前のバージョン |
すべて |
|
Magento Commerce |
2.2.11 とそれ以前のバージョン(注を参照) |
すべて |
|
Magento オープンソース |
2.2.11 とそれ以前のバージョン(注を参照) |
すべて |
|
Magento Enterprise Edition |
1.14.4.4 とそれ以前のバージョン |
すべて |
|
Magento Community Edition |
1.9.4.4 とそれ以前のバージョン |
すべて |
注意:
Magento 2.2x は 2019 年 12 月 31 日にサポートを終了しました。
解決策
アドビは、これらのアップデート版の優先度を次のように評価し、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
|
製品名 |
バージョン |
プラットフォーム |
優先度レート |
入手方法 |
|---|---|---|---|---|
|
Magento Commerce |
2.3.4-p2 |
すべて |
2 |
|
|
Magento オープンソース |
2.3.4-p2 |
すべて |
2 |
|
|
Magento Commerce |
2.3.5-p1 |
すべて |
2 |
|
|
Magento オープンソース |
2.3.5-p1 |
すべて |
2 |
|
|
Magento Enterprise Edition |
1.14.4.5 |
すべて |
2 |
|
|
Magento Community Edition |
1.9.4.5 |
すべて |
2 |
注意:
Magento Commerce 2.2.12 は、コマースのお客様向けの拡張サポートのみを提供しています。
脆弱性に関する詳細
注意:
1. CVE-2020-9585 は、デフォルトのインストール時の影響は緩和しました。
2. CVE-2020-9591 は Magento 1 に排他的に影響を与えます。
注意:
事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。
必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。
謝辞
一連の問題をご報告いただき、ユーザーの保護にご協力いただいた以下の個人および組織の皆様に対し、アドビより厚く御礼を申し上げます。
- Blaklis (CVE-2020-9576、CVE-2020-9579、CVE-2020-9581、CVE-2020-9582、CVE-2020-9583、CVE-2020-9584)
- Flatmon 氏(CVE-2020-9577)
- Y0natan 氏(CVE-2020-9578)
- Edgar Boda-Majer 氏(CVE-2020-9580)
- Qubitz 氏(CVE-2020-9585)
- Magnusg 氏(CVE-2020-9587)
- Wasin Sae-ngow 氏(CVE-2020-9588)
- Max Chadwick 氏(CVE-2020-9630)
更新履歴
2020 年 5 月 4 日: CVE-2020-9586 に対する謝辞を削除しました。
2020 年 5 月 7 日: 誤って元のバージョンから除外された CVE-2020-9630 を追加しました。
2020 年 5 月 12 日: 誤って元のバージョンから除外された CVE-2020-9631 と CVE-2020-9632 が追加されました。
