Magento 2.3.3 wurde Dienstag, den 8. Oktober 2019 veröffentlicht.
Diese Version behebt 75 Sicherheitslücken und 175 funktionale Fehler. Die Lücken sind im Security-Update-Beitrag dokumentiert.
Alle Details finden Sie in den Release-Notes für Open Source und Commerce.
Kompatibilität mit PHP 7.3
Version 2.3.3 ist mit PHP 7.3 kompatibel.
Kompatibilität mit Varnish 6.2.0
Magento 2.3.3 kann mit Varnish 6.2.0 verwendet werden.
Behobene Sicherheitslücken
Das sind die gefixten Security-Bugs. Laut Magento ist mit 8.10.2019 für keine dieser Lücken eine Ausnutzung bekannt.
Name | CVSSv3 Score |
---|---|
PRODSECBUG-2403: Remote code execution through crafted PageBuilder templates - CVE-2019-8144 | 10 |
PRODSECBUG-2462: Remote code execution via file upload in admin import feature - CVE-2019-8114 | 9.1 |
PRODSECBUG-2376: Remote code execution through crafted page layout and image data - CVE-2019-8150 | 9.1 |
PRODSECBUG-2414: Remote code execution through custom layout update of the content management functionality - CVE-2019-8137 | 9.1 |
PRODSECBUG-2417: Remote code execution via vulnerable Symphony dependecy injection - CVE-2019-8135 | 9.1 |
PRODSECBUG-2470: Remote Code Execution in email templates - CVE-2019-8110 | 9.1 |
PRODSECBUG-2405: Injection vulnerability via email templates - CVE-2019-8143 | 9.1 |
PRODSECBUG-2418: SQL injection via marketing account with access to email templates variables - CVE-2019-8134 | 9.1 |
PRODSECBUG-2332: Remote code execution through arbitrary file inclusion - CVE-2019-8154 | 9.1 |
PRODSECBUG-2449: Remote code execution via local file delete and XSLT injection - CVE-2019-8119 | 9.1 |
PRODSECBUG-2446: Remote code execution via custom layout update in create product functionality - CVE-2019-8122 | 9.1 |
PRODSECBUG-2469: Remote Code Execution in email templates - CVE-2019-8111 | 9.1 |
PRODSECBUG-2424: SQL injection when accessing group data in email templates - CVE-2019-8130 | 8.8 |
PRODSECBUG-2416: Using vulnerable component that provides abstraction of HTTP specification - CVE-2019-8136 | 8.8 |
PRODSECBUG-2407: Remote code execution due to unsafe PHP archieve deserialization in the import functionality - CVE-2019-8141 | 8.7 |
PRODSECBUG-2434: SQL injection in 'Catalog Products List' widget leading to privilege escalation - CVE-2019-8127 | 8.5 |
PRODSECBUG-2475: Remote Code Execution through Cross-Site Request Forgery (CSRF) - CVE-2019-8109 | 8.4 |
PRODSECBUG-2309: Server-side request forgery via crafted connector endpoint - CVE-2019-8156 | 8 |
PRODSECBUG-2367: Remote code execution due to unsafe handling of a carrier gateway - CVE-2019-8151 | 7.9 |
PRODSECBUG-2440: Information disclosure through processing of external XML entities - CVE-2019-8126 | 7.6 |
PRODSECBUG-2484: Arbitrary file deletion through export data data transfer - CVE-2019-8107 | 7.6 |
PRODSECBUG-2494: Arbitrary file deletion through design layout update - CVE-2019-8090 | 7.6 |
PRODSECBUG-2485: Information Disclosure via File upload functionality - CVE-2019-8093 | 7.3 |
PRODSECBUG-2478: Broken authentication and session managememt - CVE-2019-8108 | 7.3 |
PRODSECBUG-2456: Broken authentication and session managememt - CVE-2019-8116 | 7.3 |
PRODSECBUG-2402: Cross-Site Scripting via Attribute Set Name - CVE-2019-8145 | 6.8 |
PRODSECBUG-2412: Cross-Site Scripting via Location Name - CVE-2019-8138 | 6.5 |
PRODSECBUG-2410: Cross-Site Scripting via Dynamic block in the Page builder - CVE-2019-8139 | 6.5 |
PRODSECBUG-2408: Unrestricted upload of file with dangerous type - CVE-2019-8140 | 6.5 |
PRODSECBUG-2423: Cross-Site Scripting via inventory source - CVE-2019-8131 | 6.5 |
PRODSECBUG-2419: Bypass of sitemp access restrictions - CVE-2019-8133 | 6.5 |
PRODSECBUG-2223: Remote code execution when using functionality that imports a new product - CVE-2019-8159 | 6.4 |
PRODSECBUG-2447: Using JS libraries with known security vulnerabilities - CVE-2019-8121 | 6.1 |
PRODSECBUG-2458: Cross-Site Scripting in image file names - CVE-2019-8115 | 6.1 |
PRODSECBUG-2452: User Password is stored in clear - CVE-2019-8118 | 5.7 |
PRODSECBUG-2401: Cross-Site Scripting via Customer Attribute Option Value - CVE-2019-8146 | 5.5 |
PRODSECBUG-2425: Cross-Site Scripting via Signifyd Guarantee Option Translation Override - CVE-2019-8129 | 5.5 |
PRODSECBUG-2392: Cross-Site Scripting via PageBuilder Banner - CVE-2019-8148 | 5.5 |
PRODSECBUG-2398: Cross-Site Scripting via Customer Attribute Labels - CVE-2019-8147 | 5.5 |
PRODSECBUG-2426: Cross-Site Scripting via store name - CVE-2019-8128 | 5.5 |
PRODSECBUG-2406: Cross-Site Scripting via Payment Method Title - CVE-2019-8142 | 5.5 |
PRODSECBUG-2390: Broken authentication and session managememt - CVE-2019-8149 | 5.4 |
PRODSECBUG-2422: Cross-Site Scripting via Email Template Name - CVE-2019-8132 | 5.4 |
PRODSECBUG-2290: Cross-Site Scripting via admin panel - CVE-2019-8157 | 4.8 |
PRODSECBUG-2455: Stored cross-site scripting (XSS) from URL in to product page - CVE-2019-8117 | 4.7 |
PRODSECBUG-2448: Cross side scripting via admin panel dashboard - CVE-2019-8120 | 4.4 |
PRODSECBUG-2489: Cross side scripting during the preview of email templates - CVE-2019-8092 | 4 |
PRODSECBUG-2344: Cross-Site Scripting via wysiwyg editor - CVE-2019-8152 | 4 |
PRODSECBUG-2342: Cross-Site Scripting mitigation bypass - CVE-2019-8153 | 4 |
PRODSECBUG-2465: Bypass of user confirmation mechanism - CVE-2019-8112 | 3.7 |
PRODSECBUG-2464: Use of weak cryptographic function - CVE-2019-8113 | 3.7 |
PRODSECBUG-2272: XPath Injection via front end rendering functionality - CVE-2019-8158 | 3.7 |
PRODSECBUG-2445: Insufficient logging and monitoring of configuration changes - CVE-2019-8123 | 3.3 |
PRODSECBUG-2444: Missing logs of configuration changes related to design update - CVE-2019-8124 | 3.3 |
Nötige Anpassungen für 2.3.3
Aufsplittung von jQuery-UI-Komponenten
Die „jquery/ui“-Komponente wurde in mehrere Pakete aufgeteilt, um die Performance zu verbessern.
Hat das eigene Modul „jquery/ui“ als Abhängigkeit definiert, dann erscheint folgende Warnung in der Konsole:
Fallback to JQueryUI Compat activated. Your store is missing a dependency for a jQueryUI widget. Identifying and addressing the dependency will drastically improve the performance of your site.
Meldung von compat.js
Wie man die Meldung behebt, steht in diesem Twitter-Thread.
Inkompatibilitäten bei EmailMessageInterface – Patch einspielen!
Magento hat mit 2.3.3 unabsichtlich inkompatible Änderungen bei Mail-Klassen eingeführt. Deswegen reichte das Team einen Patch nach, den man einspielen sollte, um diese Inkompatibilität zu beheben. Ansonsten drohen Probleme mit Extensions. Die Änderungen des Patches fließen in Magento 2.3.4 ein.
Security-only Patch Release 2.3.2-p2 (2.3.2.2)
Magento 2.3.3 ist die erste Version, für die parallel ein „Security-only Patch Release“ existiert. In diesem Fall ist das Magento 2.3.2-p2. Folge den Links für weitere Informationen.
Falls du dich wunderst, warum 2.3.2-p2 statt 2.3.2-p1: den letzteren Patch gab es kurz, doch da gab es ein Problem. Deswegen muss man 2.3.2-p2 installieren. Die Version unterscheidet sich bei einigen Commerce-Modulen von 2.3.2-p1.
2.3.2-p2 unterstützt im Gegensatz zu 2.3.3 nicht PHP 7.3.
Da die Schreibweise mit „-p2“ unter Nicht-ProgrammiererInnen weniger bekannt ist, wird diese Version auch als 2.3.2.2 promotet.
Beachtenswerte Bugs in Magento 2.3.3
- Wenn man Bestellbestätigungen an mehrere Händler-Mail-Adressen schicken möchte, soll man nicht die Einstellung „separate emails“ verwenden.