ID do boletim
Última atualização em
25 de ago de 2025
Atualização de segurança disponível para Adobe Commerce | APSB25-71
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-71 |
12 de agosto de 2025 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Esta atualização resolve vulnerabilidades críticas e importantes. Uma exploração bem-sucedida podia levar a um desvio do recurso de segurança, escalonamento de privilégios, uma leitura arbitrária do sistema de arquivos e uma negação de serviço do aplicativo.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 e anterior 2.4.7-p6 e anterior 2.4.6-p11 e anterior 2.4.5-p13 e anterior 2.4.4-p14 e anterior |
Todos |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 e anterior 1.4.2-p6 e anterior 1.3.5-p11 e anterior 1.3.4-p13 e anterior 1.3.3-p14 e anterior |
Todas |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 e anterior 2.4.7-p6 e anterior 2.4.6-p11 e anterior 2.4.5-p13 e anterior |
Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Todas | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Todas | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Todas | 2 |
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Validação de entrada inadequada (CWE-20) | Negação de serviço de aplicativo | Crítico | Não | Não | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Falsificação de solicitação entre sites (CSRF) (CWE-352) |
Escalonamento de privilégio | Crítico | Sim | Sim | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Autorização incorreta (CWE-863) | Leitura arbitrária do sistema de arquivos | Crítico | Sim | Sim | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Criação de script entre sites (XSS armazenado) (CWE-79) |
Escalonamento de privilégio | Crítico | Sim | Sim | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Condição de corrida de tempo de verificação/tempo de uso (Time-of-check Time-of-use, TOCTOU) (CWE-367) | Falha de recurso de segurança | Importante | Sim | Não | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) | Falha de recurso de segurança | Importante | Sim | Sim | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você tiver interesse em trabalhar com a Adobe como pesquisador de segurança externo, confira: https://hackerone.com/adobe.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
