Das Unternehmen Adobe, zu dem Magento Commerce seit 2018 gehört, hat wichtige Security-Updates für die E-Commerce-Plattform veröffentlicht. Über die vier nun geschlossenen Sicherheitslücken, von denen zwei als "Important" und zwei als "Critical" eingestuft wurden, hätten Angreifer unter bestimmten Voraussetzungen Verifizierungsmechanismen aushebeln und beliebigen Code ausführen können. Anwender sollten die Updates möglichst zeitnah einspielen.
Verwundbare Versionen und verfügbare Updates
Über die Sicherheitslücken angreifbar waren die Magento-Varianten Commerce 2 und Open Source 2, jeweils bis einschließlich Version 2.3.5-p1, für alle verfügbaren Zielplattformen.
Ein Update auf 2.3.5-p2 oder 2.4.0 beseitigt die mindestens teilweise aus der Ferne ausnutzbaren Sicherheitslücken CVE-2020-9689 (Path Traversal-Attacke), CVE-2020-9690 (zeitbasierte Angriffsmöglichkeit), CVE-2020-9691 (DOM-basiertes Cross-Site-Scripting) und CVE-2020-9692 (nicht näher bezeichnete Umgehung von Sicherheitsvorkehrungen).
Weitere Informationen zu den Sicherheitslücken und Updates nennt Adobes Security Advisory:
- Security Updates Available for Magento | APSB20-4