ID do boletim
Última atualização em
8 de jul de 2025
Atualização de segurança disponível para o Adobe Commerce | APSB25-50
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-50 |
10 de junho de 2025 |
1 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas, importantes e moderadas. Um abuso bem-sucedido pode resultar em falha do recurso de segurança, transferência de privilégios e execução de código arbitrária.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 e anteriores 2.4.6-p10 e anteriores 2.4.5-p12 e anteriores 2.4.4-p13 e anteriores |
Todos |
| Adobe Commerce B2B |
1.5.2 e anteriores 1.4.2-p5 e anteriores 1.3.5-p10 e anteriores 1.3.4-p12 e anteriores 1.3.3-p13 e anteriores |
Todas |
| Magento Open Source | 2.4.8 2.4.7-p5 e anteriores 2.4.6-p10 e anteriores 2.4.5-p12 e anteriores |
Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 para 2.4.8 2.4.7-p6 para 2.4.7-p5 e anteriores 2.4.6-p11 para 2.4.6-p10 e anteriores 2.4.5-p13 para 2.4.5-p12 e anteriores 2.4.4-p14 para 2.4.4-p13 e anteriores |
Todos |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 para 1.5.2 1.4.2-p6 para 1.4.2-p5 e anteriores 1.3.4-p13 para 1.3.4-p12 e anteriores 1.3.3-p14 para 1.3.3-p13 e anteriores |
Todas | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 para 2.4.8 2.4.7-p6 para 2.4.7-p5 e anteriores 2.4.6-p11 para 2.4.6-p10 e anteriores 2.4.5-p13 para 2.4.5-p12 e anteriores |
Todas |
2 | |
| Adobe Commerce e Magento Open Source | Correção isolada para CVE-2025-47110 | Todas | 1 | Notas de versão para correção isolada em CVE-2025-47110. |
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Criação de script entre sites (XSS Refletido) (CWE-79) | Execução de código arbitrário | Crítico | Sim | Sim | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Autorização inadequada (CWE-285) | Falha de recurso de segurança | Crítico | Sim | Não | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Sim | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégios | Importante | Sim | Sim | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Somente B2B |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégios | Importante | Sim | Sim | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Somente B2B |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Importante | Não | Não | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Moderado | Sim | Sim | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 - CVE-2025-27206
- wohlie - CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Revisões
25 de junho de 2025: Adicionado CVE-2025-49549 e CVE-2025-49550
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
