情報 ID
最終更新日 :
2022年1月14日
|
次にも適用 : Digital Editions
Magento に関するセキュリティアップデート公開 | APSB20-47
|
|
公開日 |
優先度 |
|---|---|---|
|
ASPB20-47 |
2020 年 7 月 28 日 |
2 |
要約
対象のバージョン
|
製品名 |
バージョン |
プラットフォーム |
|---|---|---|
|
Magento Commerce 2 |
2.3.5-p1 以前のバージョン |
すべて |
|
Magento Open Source 2 |
2.3.5-p1 以前のバージョン |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
|
製品名 |
アップデートバージョン |
プラットフォーム |
優先度評価 |
リリースノート |
|---|---|---|---|---|
|
Magento Commerce 2 |
2.4.0 |
すべて |
2 |
|
|
Magento Open Source 2 |
2.4.0 |
すべて |
2 |
|
|
|
|
|
|
|
|
Magento Commerce 2 |
2.3.5-p2 |
すべて |
2 |
― |
|
Magento Open Source 2 |
2.3.5-p2 |
すべて |
2 |
― |
脆弱性に関する詳細
|
脆弱性のカテゴリー |
脆弱性の影響 |
深刻度 |
管理者権限が必要ですか? |
Magento Bug ID |
CVE 番号 |
|
|---|---|---|---|---|---|---|
|
パストラバーサル |
任意のコード実行 |
クリティカル |
いいえ |
はい |
PRODSECBUG-2716 |
CVE-2020-9689 |
|
目に見えるタイミングの違い |
署名認証バイパス |
重要 |
いいえ |
はい |
PRODSECBUG-2726 |
CVE-2020-9690 |
|
DOM ベースのクロスサイトスクリプティング |
任意のコード実行 |
重要 |
はい |
いいえ |
PRODSECBUG-2533 |
CVE-2020-9691 |
|
セキュリティ軽減バイパス |
任意のコード実行 |
クリティカル |
いいえ |
はい |
PRODSECBUG-2769 |
CVE-2020-9692 |
注意:
事前認証:この脆弱性は、資格情報がない場合に不正利用可能です。
必要な管理者権限:この脆弱性は、管理者権限を持つ攻撃者によってのみ不正利用可能です。
謝辞
一連の問題を指摘し、ユーザーの保護にご協力いただいた以下の個人の皆様に対し、アドビより厚く御礼を申し上げます。
- Bugscale および BlaklisのEdgar Boda-Majer 氏(CVE-2020-9689)
- Wasin Sae-ngow 氏(CVE-2020-9690)
- Linus Sarud 氏(CVE-2020-9691)
- Bugscale の Edgar Boda-Majer 氏(CVE-2020-9692)
