Diese Wikiseite dient als zentrale Informationsseite für alle Magento Patches.

APSB20-22

  • veröffentlicht am 28.04.2020
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.5 und 2.3.5
  • sasdfasdf
  • Stored cross-site scripting (PRODSECBUG-2671, PRODSECBUG-2700, PRODSECBUG-2715)
    • Sensitive information disclosure (important)
  • Command injection (PRODSECBUG-2707, PRODSECBUG-2695, PRODSECBUG-2708, PRODSECBUG-2710)
    • Arbitrary code execution (critical)
  • Security mitigation bypass (PRODSECBUG-2696, PRODSECBUG-2697)
    • Arbitrary code execution (critical)
  • Defense-in-depth security mitigation (PRODSECBUG-2541, MPERF-10898)
    • Arbitrary code execution or unauthorized access to admin panel (moderate)
  • Observable Timing Discrepancy (PRODSECBUG-2677)
    • Signature verification bypass (important)
  • Authorization bypass (PRODSECBUG-2518)
    • Potentially unauthorized product discounts (moderate)

APSB20-02

  • veröffentlicht am 28.01.2020
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.4 und 2.3.4
  • Stored cross-site scripting (PRODSECBUG-2543, PRODSECBUG-2599)
    • Sensitive information disclosure (important)
  • Arbitrary code execution (PRODSECBUG-2579)
    • Deserialization of untrusted data (critical)
  • Path traversal (PRODSECBUG-2632)
    • Sensitive information disclosure (important)
  • Arbitrary code execution (PRODSECBUG-2633)
    • Security bypass (critical)
  • SQL injection (PRODSECBUG-2660)
    • Sensitive information disclosure (critical)
  • weitere Details

SUPEE-11219

  • veröffentlicht am 08.10.2019
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.3
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.4.0
  • Remote code execution via file upload (PRODSECBUG-2462)
  • Remote code execution via crafted support configuration modification (PRODSECBUG-2443)
  • Remote code execution via product layout update (PRODSECBUG-2492)
  • Insufficient logging and monitoring of configuration changes (PRODSECBUG-2445)
  • Cross-Site Scripting via wysiwyg editor (PRODSECBUG-2344)
  • Sensitive information available in HTTP requests (PRODSECBUG-2328)
  • weitere Details

SUPEE-11155

  • veröffentlicht am 26.06.2019
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.2
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.4.0
  • Arbitrary code execution through design layout update (PRODSECBUG-2296)
  • Arbitrary code execution through product imports and design layout update (PRODSECBUG-2298)
  • Arbitrary code execution via file upload (PRODSECBUG-2349)
  • Security bypass via form data injection (PRODSECBUG-2202)
  • Arbitrary code execution via malicious XML layouts (PRODSECBUG-2375)
  • Remote code execution through crafted email templates (PRODSECBUG-2306)
  • MySQL Error through crafted Elasticsearch query (PRODSECBUG-2350)
  • Arbitrary code execution via crafted sitemap creation (PRODSECBUG-2351)
  • Arbitrary code execution through malicious elastic search module configuration (PRODSECBUG-2266)
  • weitere Details

SUPEE-11086

  • veröffentlicht am 26.03.2019
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.1
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.4.0
  • SQL Injection through an unauthenticated user (PRODSECBUG-2198)
  • Remote code execution via server side request forgery (PRODSECBUG-2285)
  • Arbitrary code execution (PRODSECBUG-2232, 2252, 2253, 2261, 2273)
  • Remote code execution through PHP code (PRODSECBUG-2203)
  • Remote code execution through arbitrary XML data (PRODSECBUG-2210)
  • Stored cross-site scriptingin the escaper framework (PRODSECBUG-2245)
  • Reflected cross-site scripting (PRODSECBUG-2182)
  • weitere Details

SUPEE-10975

  • veröffentlicht am 28.11.2018
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.4.0
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.4.0
  • Stops Brute Force Requests via basic RSS authentication (PRODSECBUG-1589)
  • M1 Credit Card Storage Capability (MAG-23)
  • Authenticated RCE using customer import (PRODSECBUG-2149)
  • API Based RCE Vulnerability (PRODSECBUG-2159)
  • RCE Via Unauthorized Upload (PRODSECBUG-2156)
  • Authenticated RCE using dataflow (PRODSECBUG-2155)
  • Prevents XSS in Newsletter Template (PRODSECBUG-2053)
  • weitere Details

SUPEE-10888

  • veröffentlicht am 10.09.2018
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.3.10
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.3.10
  • Authenticated Unauthorised Data Access Via Layout Injection (APPSEC-2061)
  • Reflective XSS against Admin Panel (APPSEC-1971)
  • Admin to Admin XSS in configurable custom attribute label (APPSEC-2066 + 2067)
  • Overwrite all Reviews (APPSEC-2060)
  • weitere Details

SUPEE-10752

  • veröffentlicht am 27.06.2018
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.3.9
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.3.9
  • Authenticated Remote Code Execution (APPSEC-2001 + 2015)
  • PHP Object Injection (APPSEC-2042 + 2029)
  • Authenticated SQL Injection (APPSEC-2007)
  • CSRF (APPSEC-2027)
  • Stored cross-site scripting (APPSEC-2006)
  • weitere Details

SUPEE-10570

  • veröffentlicht am 27.02.2018
  • enthalten in Magento Open Source (zuvor Magento CE) v1.9.3.8
  • Patch verfügbar für Magento Open Source 1.5.0.0 bis 1.9.3.7
  • JavaScript execution in the administrator panel (APPSEC-1951)
  • Remote Code Execution using media upload (APPSEC-1952)
  • Cross-Site Scripting in customer information (APPSEC-1865)
  • Cross-site Scripting in Customer Address (APPSEC-1907)
  • Cros-site Scripting leading to Denial-of-Service (APPSEC-1935)
  • weitere Details

SUPEE-10497

  • veröffentlicht am 13.12.2017
  • Patch verfügbar für Magento CE 1.9.1.1, betrifft nur diese Version
  • ersetzt Patches SUPEE-10266 (14.09.2017) and SUPEE-10415 (28.11.2017)

SUPEE-10415

  • veröffentlicht am 28.11.2017
  • enthalten in Magento CE 1.9.3.7
  • Patch verfügbar für Magento CE 1.9.0.0-1.14.3.7
  • Remote Code Execution by leveraging unsafe unserialization (APPSEC-1894)
  • Remote Code Execution in CMS Page Area (APPSEC-1915)
  • Stored XSS in Billing Agreements (APPSEC-1325)
  • PHP Object Injection in product attributes leading to Remote Code Execution (APPSEC-1830)
  • weitere Details

SUPEE-10266

  • veröffentlicht am 14.09.2017
  • enthalten in Magento CE 1.9.3.6
  • Patch verfügbar für Magento CE 1.9.0.0-1.14.3.4
  • Privilege Escalation in SS session admin cookie (APPSEC-1838)
  • Remote Code Execution in CMS and layouts (APPSEC-1800)
  • Information Leak of Magento secret key (APPSEC-1835)
  • weitere Details

SUPEE-9767

  • veröffentlicht am 31.05.2017
  • enthalten in Magento CE 1.9.3.3
  • Patch verfügbar für Magento CE 1.5.0.1-1.9.3.2
  • Remote Code Execution in DataFlow (APPSEC-1777)
  • Remote Code Execution in the Admin panel (APPSEC-1686)
  • XSS in data fields (APPSEC-1634)
  • weitere Details

SUPEE-9652

  • veröffentlicht am 06.02.2017
  • enthalten in Magento CE 1.9.3.2
  • Patch verfügbar für Magento CE 1.5.0.1-1.9.3.1
  • Remote Code Execution using mail vulnerability (APPSEC-1746)
  • weitere Details

SUPEE-8788

  • veröffentlicht am 11.10.2016

Beinhaltet folgende Patches

  • Remote Code Execution im Checkout (APPSEC-1484)
  • SQL Injection im Zend Framework macht mehrere Zugänge zum Admin Panel möglich (APPSEC-1480)
  • Login als anderer Kunde möglich, wenn die E-Mail Adresse bekannt ist (APPSEC-1517)
  • weitere Patches der Stufe Medium und Low

SUPEE-7405 v1.1

  • veröffentlicht am 23.02.2016
  • kompatibel mit PHP 5.3
  • entweder den Patch installieren oder auf Magento 1.9.2.4 upgraden
  • SUPEE-7405 v1.0 muss zuerst installiert werden, wenn man eine Magento Version älter als 1.9.2.3 verwendet

Beinhaltet folgende Patches:

  • Cart Merge Patch (SUPEE-7978)
  • SOAP API Patch (SUPEE-7822)
  • PHP 5.3 Compatibility (SUPEE-7882)
  • Upload File Permissions

Weitere Infos auf magento.com/security/patches/supee-7405.

SUPEE-7405 v1.0

  • veröffentlicht am 29.01.2016
  • ist nicht mit PHP 5.3 kompatibel
  • beinhaltet Patches: SUPEE-5344, SUPEE-5994, SUPEE-6237, SUPEE-6285, SUPEE-6482, SUPEE-6788, SUPEE-7616, SUPEE-7405
  • Zwanzig Sicherheitslücken werden geschlossen, unter anderem: drei Möglichkeiten des Cross-site Scripting unter Gebrauch von Unvalidated Headers, sieben XSS Lücken im Backend und Frontend Bereich und unsicherer Quelltext für das Verarbeiten von serialisierten Objekten
  • includes an update to the USPS API, and a bundle of patches to improve the security of your Magento installation. While there are no confirmed attacks related to these issues to date, certain vulnerabilities can potentially be exploited to access customer information or take over administrator sessions.

SUPEE-6788

  • veröffentlicht am 26.10.2015
  • Cross-site Scripting Using Unvalidated Headers
  • Error Reporting in Setup Exposes Configuration
  • Filter Directives Can Allow Access to Protected Data
  • XXE/XEE Attack on Zend XML Functionality Using Multibyte Payloads
  • Potential SQL Injection in Magento Core Model Base Classes
  • Potential Remote Code Execution Using Cron
  • Remote Code Execution / Information Leak Using File Custom Option
  • Cross-site Scripting with Error Messages
  • Potential Remote Code Execution Using Error Reports and Downloadable Products
  • Admin Path Disclosure
  • Insufficient Protection of Password Reset Process
  • Dev Folder Not Protected
  • öffentliche Liste betroffener Extensions von MaxCluster
  • geschlossene Liste der Openstream Magento Kunden und der installierten Extensions

SUPEE-6482

  • veröffentlicht am 04.08.2015
  • Autoloaded File Inclusion in Magento SOAP API
  • SSRF Vulnerability in WSDL File
  • Cross-site Scripting (Magento Enterprise Edition Only)

SUPEE-6285

  • veröffentlicht am 07.07.2015
  • Information Leak via RSS and Privilege Escalation
  • Request Forgery in Magento Connect Leads to Code Execution
  • Cross-site Scripting in Wishlist
  • Cross-site Scripting in Cart
  • Store Path Disclosure
  • Permissions on Log Files too Broad
  • Cross-site Scripting in Admin
  • Cross-site Scripting in Orders RSS

SUPEE-6237

  • veröffentlicht am 18.06.2015
  • USPS (United States Postal Service) API Shipping rate injection

SUPEE-5994

  • veröffentlicht am 14.05.2015
  • Admin Path Disclosure
  • Customer Address Leak through Checkout
  • Customer Information Leak through Recurring Profile
  • Local File Path Disclosure Using Media Cache
  • Cross-site Scripting (XSS) Using Magento Downloader
  • Spreadsheet Formula Injection
  • Cross-site Scripting Using Authorize.Net Direct Post Module
  • Malicious Package Can Overwrite System Files

SUPEE-5344

  • veröffentlicht am 19.02.2015
  • Remote Code Execution

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.