Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 juin 2019

N° CERTFR-2019-AVI-295

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Magento

Gestion du document

Référence	CERTFR-2019-AVI-295
Titre	Multiples vulnérabilités dans les produits Magento
Date de la première version	26 juin 2019
Date de la dernière version	26 juin 2019
Source(s)	Bulletin de sécurité Magento Security Update 1/3 du 25 juin 2019 Bulletin de sécurité Magento Security Update 2/3 du 25 juin 2019 Bulletin de sécurité Magento Security Update 3/3 du 25 juin 2019 Bulletin de sécurité Magento SUPEE-11155 du 25 juin 2019

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Injection de requêtes illégitimes par rebond (CSRF)
Élévation de privilèges

Systèmes affectés

Magento Commerce versions antérieures à 1.14.4.2
Magento Open Source versions antérieures à 1.9.4.2
Magento versions 2.1.x antérieures à 2.1.18
Magento versions 2.2.x antérieures à 2.2.9
Magento versions 2.3.x antérieures à 2.3.2
SUPEE-11155

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Magento. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Magento Security Update 1/3 du 25 juin 2019

https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

Bulletin de sécurité Magento Security Update 2/3 du 25 juin 2019

https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-23

Bulletin de sécurité Magento Security Update 3/3 du 25 juin 2019

https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-33

Bulletin de sécurité Magento SUPEE-11155 du 25 juin 2019

https://magento.com/security/patches/supee-11155

Référence CVE CVE-2019-7139

https://www.cve.org/CVERecord?id=CVE-2019-7139

Référence CVE CVE-2019-7846

https://www.cve.org/CVERecord?id=CVE-2019-7846

Référence CVE CVE-2019-7847

https://www.cve.org/CVERecord?id=CVE-2019-7847

Référence CVE CVE-2019-7848

https://www.cve.org/CVERecord?id=CVE-2019-7848

Référence CVE CVE-2019-7849

https://www.cve.org/CVERecord?id=CVE-2019-7849

Référence CVE CVE-2019-7850

https://www.cve.org/CVERecord?id=CVE-2019-7850

Référence CVE CVE-2019-7851

https://www.cve.org/CVERecord?id=CVE-2019-7851

Référence CVE CVE-2019-7852

https://www.cve.org/CVERecord?id=CVE-2019-7852

Référence CVE CVE-2019-7853

https://www.cve.org/CVERecord?id=CVE-2019-7853

Référence CVE CVE-2019-7854

https://www.cve.org/CVERecord?id=CVE-2019-7854

Référence CVE CVE-2019-7855

https://www.cve.org/CVERecord?id=CVE-2019-7855

Référence CVE CVE-2019-7857

https://www.cve.org/CVERecord?id=CVE-2019-7857

Référence CVE CVE-2019-7858

https://www.cve.org/CVERecord?id=CVE-2019-7858

Référence CVE CVE-2019-7859

https://www.cve.org/CVERecord?id=CVE-2019-7859

Référence CVE CVE-2019-7860

https://www.cve.org/CVERecord?id=CVE-2019-7860

Référence CVE CVE-2019-7861

https://www.cve.org/CVERecord?id=CVE-2019-7861

Référence CVE CVE-2019-7862

https://www.cve.org/CVERecord?id=CVE-2019-7862

Référence CVE CVE-2019-7863

https://www.cve.org/CVERecord?id=CVE-2019-7863

Référence CVE CVE-2019-7864

https://www.cve.org/CVERecord?id=CVE-2019-7864

Référence CVE CVE-2019-7865

https://www.cve.org/CVERecord?id=CVE-2019-7865

Référence CVE CVE-2019-7866

https://www.cve.org/CVERecord?id=CVE-2019-7866

Référence CVE CVE-2019-7867

https://www.cve.org/CVERecord?id=CVE-2019-7867

Référence CVE CVE-2019-7868

https://www.cve.org/CVERecord?id=CVE-2019-7868

Référence CVE CVE-2019-7869

https://www.cve.org/CVERecord?id=CVE-2019-7869

Référence CVE CVE-2019-7871

https://www.cve.org/CVERecord?id=CVE-2019-7871

Référence CVE CVE-2019-7872

https://www.cve.org/CVERecord?id=CVE-2019-7872

Référence CVE CVE-2019-7873

https://www.cve.org/CVERecord?id=CVE-2019-7873

Référence CVE CVE-2019-7874

https://www.cve.org/CVERecord?id=CVE-2019-7874

Référence CVE CVE-2019-7875

https://www.cve.org/CVERecord?id=CVE-2019-7875

Référence CVE CVE-2019-7876

https://www.cve.org/CVERecord?id=CVE-2019-7876

Référence CVE CVE-2019-7877

https://www.cve.org/CVERecord?id=CVE-2019-7877

Référence CVE CVE-2019-7878

https://www.cve.org/CVERecord?id=CVE-2019-7878

Référence CVE CVE-2019-7879

https://www.cve.org/CVERecord?id=CVE-2019-7879

Référence CVE CVE-2019-7880

https://www.cve.org/CVERecord?id=CVE-2019-7880

Référence CVE CVE-2019-7881

https://www.cve.org/CVERecord?id=CVE-2019-7881

Référence CVE CVE-2019-7882

https://www.cve.org/CVERecord?id=CVE-2019-7882

Référence CVE CVE-2019-7884

https://www.cve.org/CVERecord?id=CVE-2019-7884

Référence CVE CVE-2019-7885

https://www.cve.org/CVERecord?id=CVE-2019-7885

Référence CVE CVE-2019-7886

https://www.cve.org/CVERecord?id=CVE-2019-7886

Référence CVE CVE-2019-7887

https://www.cve.org/CVERecord?id=CVE-2019-7887

Référence CVE CVE-2019-7888

https://www.cve.org/CVERecord?id=CVE-2019-7888

Référence CVE CVE-2019-7889

https://www.cve.org/CVERecord?id=CVE-2019-7889

Référence CVE CVE-2019-7890

https://www.cve.org/CVERecord?id=CVE-2019-7890

Référence CVE CVE-2019-7891

https://www.cve.org/CVERecord?id=CVE-2019-7891

Référence CVE CVE-2019-7892

https://www.cve.org/CVERecord?id=CVE-2019-7892

Référence CVE CVE-2019-7893

https://www.cve.org/CVERecord?id=CVE-2019-7893

Référence CVE CVE-2019-7894

https://www.cve.org/CVERecord?id=CVE-2019-7894

Référence CVE CVE-2019-7895

https://www.cve.org/CVERecord?id=CVE-2019-7895

Référence CVE CVE-2019-7896

https://www.cve.org/CVERecord?id=CVE-2019-7896

Référence CVE CVE-2019-7897

https://www.cve.org/CVERecord?id=CVE-2019-7897

Référence CVE CVE-2019-7898

https://www.cve.org/CVERecord?id=CVE-2019-7898

Référence CVE CVE-2019-7899

https://www.cve.org/CVERecord?id=CVE-2019-7899

Référence CVE CVE-2019-7900

https://www.cve.org/CVERecord?id=CVE-2019-7900

Référence CVE CVE-2019-7901

https://www.cve.org/CVERecord?id=CVE-2019-7901

Référence CVE CVE-2019-7902

https://www.cve.org/CVERecord?id=CVE-2019-7902

Référence CVE CVE-2019-7903

https://www.cve.org/CVERecord?id=CVE-2019-7903

Référence CVE CVE-2019-7904

https://www.cve.org/CVERecord?id=CVE-2019-7904

Référence CVE CVE-2019-7905

https://www.cve.org/CVERecord?id=CVE-2019-7905

Référence CVE CVE-2019-7906

https://www.cve.org/CVERecord?id=CVE-2019-7906

Référence CVE CVE-2019-7907

https://www.cve.org/CVERecord?id=CVE-2019-7907

Référence CVE CVE-2019-7908

https://www.cve.org/CVERecord?id=CVE-2019-7908

Référence CVE CVE-2019-7909

https://www.cve.org/CVERecord?id=CVE-2019-7909

Référence CVE CVE-2019-7910

https://www.cve.org/CVERecord?id=CVE-2019-7910

Référence CVE CVE-2019-7911

https://www.cve.org/CVERecord?id=CVE-2019-7911

Référence CVE CVE-2019-7912

https://www.cve.org/CVERecord?id=CVE-2019-7912

Référence CVE CVE-2019-7913

https://www.cve.org/CVERecord?id=CVE-2019-7913

Référence CVE CVE-2019-7914

https://www.cve.org/CVERecord?id=CVE-2019-7914

Référence CVE CVE-2019-7915

https://www.cve.org/CVERecord?id=CVE-2019-7915

Référence CVE CVE-2019-7916

https://www.cve.org/CVERecord?id=CVE-2019-7916

Référence CVE CVE-2019-7917

https://www.cve.org/CVERecord?id=CVE-2019-7917

Référence CVE CVE-2019-7918

https://www.cve.org/CVERecord?id=CVE-2019-7918

Référence CVE CVE-2019-7919

https://www.cve.org/CVERecord?id=CVE-2019-7919

Référence CVE CVE-2019-7920

https://www.cve.org/CVERecord?id=CVE-2019-7920

Référence CVE CVE-2019-7921

https://www.cve.org/CVERecord?id=CVE-2019-7921

Référence CVE CVE-2019-7923

https://www.cve.org/CVERecord?id=CVE-2019-7923

Référence CVE CVE-2019-7925

https://www.cve.org/CVERecord?id=CVE-2019-7925

Référence CVE CVE-2019-7926

https://www.cve.org/CVERecord?id=CVE-2019-7926

Référence CVE CVE-2019-7927

https://www.cve.org/CVERecord?id=CVE-2019-7927

Référence CVE CVE-2019-7928

https://www.cve.org/CVERecord?id=CVE-2019-7928

Référence CVE CVE-2019-7929

https://www.cve.org/CVERecord?id=CVE-2019-7929

Référence CVE CVE-2019-7930

https://www.cve.org/CVERecord?id=CVE-2019-7930

Référence CVE CVE-2019-7931

https://www.cve.org/CVERecord?id=CVE-2019-7931

Référence CVE CVE-2019-7932

https://www.cve.org/CVERecord?id=CVE-2019-7932

Référence CVE CVE-2019-7933

https://www.cve.org/CVERecord?id=CVE-2019-7933

Référence CVE CVE-2019-7934

https://www.cve.org/CVERecord?id=CVE-2019-7934

Référence CVE CVE-2019-7935

https://www.cve.org/CVERecord?id=CVE-2019-7935

Référence CVE CVE-2019-7936

https://www.cve.org/CVERecord?id=CVE-2019-7936

Référence CVE CVE-2019-7937

https://www.cve.org/CVERecord?id=CVE-2019-7937

Référence CVE CVE-2019-7938

https://www.cve.org/CVERecord?id=CVE-2019-7938

Référence CVE CVE-2019-7939

https://www.cve.org/CVERecord?id=CVE-2019-7939

Référence CVE CVE-2019-7940

https://www.cve.org/CVERecord?id=CVE-2019-7940

Référence CVE CVE-2019-7942

https://www.cve.org/CVERecord?id=CVE-2019-7942

Référence CVE CVE-2019-7944

https://www.cve.org/CVERecord?id=CVE-2019-7944

Référence CVE CVE-2019-7945

https://www.cve.org/CVERecord?id=CVE-2019-7945

Référence CVE CVE-2019-7946

https://www.cve.org/CVERecord?id=CVE-2019-7946

Référence CVE CVE-2019-7947

https://www.cve.org/CVERecord?id=CVE-2019-7947

Référence CVE CVE-2019-7948

https://www.cve.org/CVERecord?id=CVE-2019-7948

Référence CVE CVE-2019-7950

https://www.cve.org/CVERecord?id=CVE-2019-7950

Référence CVE CVE-2019-7951

https://www.cve.org/CVERecord?id=CVE-2019-7951

Référence CVE CVE-2019-7952

https://www.cve.org/CVERecord?id=CVE-2019-7952

Gestion détaillée du document

le 26 juin 2019: Version initiale