Magento hat Updates für Magento Commerce und Open Source Editionen veröffentlicht.
Diese Updates beheben kritische Sicherheitslücken. Eine erfolgreiche Ausnutzung der Sicherheitslücken kann zur Ausführung von beliebigen Code auf der Magento Instanz führen.
Betroffen sind folgende Versionen:
| Product | Version |
|---|---|
| Magento Commerce | 2.3.3 and earlier versions |
| Magento Open Source | 2.3.3 and earlier versions |
| Magento Commerce | 2.2.10 and earlier versions |
| Magento Open Source | 2.2.10 and earlier versions |
| Magento Enterprise Edition | 1.14.4.3 and earlier versions |
| Magento Community Edition | 1.9.4.3 and earlier versions |
Details zu den Sicherheitslücken
| Vulnerability Category | Vulnerability Impact | Severity | Magento Bug ID | CVE Numbers |
| Stored cross-site scripting | Sensitive information disclosure | Important | PRODSECBUG-2543 | CVE-2020-3715 |
| Stored cross-site scripting | Sensitive information disclosure | Important | PRODSECBUG-2599 | CVE-2020-3758 |
| Deserialization of untrusted data | Arbitrary code execution | Critical | PRODSECBUG-2579 | CVE-2020-3716 |
| Path traversal | Sensitive information disclosure | Important | PRODSECBUG-2632 | CVE-2020-3717 |
| Security bypass | Arbitrary code execution | Critical | PRODSECBUG-2633 | CVE-2020-3718 |
| SQL injection | Sensitive information disclosure | Critical | PRODSECBUG-2660 | CVE-2020-3719 |