Adobe 安全公告

Adobe Commerce 的安全更新 | APSB25-26

公告 ID	发布日期	优先级
APSB25-26	2025 年 4 月 8 日	2

摘要

Adobe 发布了 Adobe Commerce 和 Magento Open Source 的安全更新。此更新解决了多个重要和中等漏洞。 如果该漏洞遭到恶意利用，可能会导致绕过安全功能、权限升级和应用程序拒绝服务。

Adobe 尚未收到任何有关这些更新中所述漏洞被人利用的信息。

受影响的版本

产品	版本	平台
Adobe Commerce	2.4.8-beta2 2.4.7-p4 及更早版本 2.4.6-p9 及更早版本 2.4.5-p11 及更早版本 2.4.4-p12 及更早版本	全部
Adobe Commerce B2B	1.5.1 及更早版本 1.4.2-p4 及更早版本 1.3.5-p9 及更早版本 1.3.4-p11 及更早版本 1.3.3-p12 及更早版本	全部
Magento Open Source	2.4.8-beta2 2.4.7-p4 及更早版本 2.4.6-p9 及更早版本 2.4.5-p11 及更早版本 2.4.4-p12 及更早版本	全部

产品

版本

平台

Adobe Commerce

2.4.8-beta2

2.4.7-p4 及更早版本

2.4.6-p9 及更早版本

2.4.5-p11 及更早版本

2.4.4-p12 及更早版本

全部

Adobe Commerce B2B

1.5.1 及更早版本

1.4.2-p4 及更早版本

1.3.5-p9 及更早版本

1.3.4-p11 及更早版本

1.3.3-p12 及更早版本

全部

Magento Open Source

2.4.8-beta2

2.4.7-p4 及更早版本

2.4.6-p9 及更早版本

2.4.5-p11 及更早版本

2.4.4-p12 及更早版本

全部

解决方案

Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本。

产品	更新后的版本	平台	优先级	安装说明
Adobe Commerce	2.4.8 替换 2.4.8-beta2 2.4.7-p5 替换 2.4.7-p4 及更早版本 2.4.6-p10 替换 2.4.6-p9 及更早版本 2.4.5-p12 替换 2.4.5-p11 及更早版本 2.4.4-p13 替换 2.4.4-p12 及更早版本	全部	2	2.4.x 发行说明
Adobe Commerce B2B	1.5.2 替换 1.5.1 1.4.2-p5 替换 1.4.2-p4 及更早版本 1.3.5-p10 替换 1.3.5-p9 及更早版本 1.3.4-p12 替换 1.3.4-p11 及更早版本 1.3.3-p13 替换 1.3.3-p12 及更早版本	全部	2
Magento Open Source	2.4.8 替换 2.4.8-beta2 2.4.7-p5 替换 2.4.7-p4 及更早版本 2.4.6-p10 替换 2.4.6-p9 及更早版本 2.4.5-p12 替换 2.4.5-p11 及更早版本 2.4.4-p13 替换 2.4.4-p12 及更早版本	全部	2

产品

更新后的版本

平台

优先级

安装说明

Adobe Commerce

2.4.8 替换 2.4.8-beta2

2.4.7-p5 替换 2.4.7-p4 及更早版本

2.4.6-p10 替换 2.4.6-p9 及更早版本

2.4.5-p12 替换 2.4.5-p11 及更早版本

2.4.4-p13 替换 2.4.4-p12 及更早版本

全部

2

2.4.x 发行说明

Adobe Commerce B2B

1.5.2 替换 1.5.1

1.4.2-p5 替换 1.4.2-p4 及更早版本

1.3.5-p10 替换 1.3.5-p9 及更早版本

1.3.4-p12 替换 1.3.4-p11 及更早版本

1.3.3-p13 替换 1.3.3-p12 及更早版本

全部

2

Magento Open Source

2.4.8 替换 2.4.8-beta2

2.4.7-p5 替换 2.4.7-p4 及更早版本

2.4.6-p10 替换 2.4.6-p9 及更早版本

2.4.5-p12 替换 2.4.5-p11 及更早版本

2.4.4-p13 替换 2.4.4-p12 及更早版本

全部

2

Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本。

漏洞详情

漏洞类别	漏洞影响	严重性	利用漏洞需要验证身份？	利用漏洞需要管理员权限？	CVSS 基础评分	CVSS 向量	CVE 编号	备注
不当的授权 (CWE-285)	权限升级	重要	是	是	4.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27188
跨站点请求伪造 (CSRF) (CWE-352)	应用程序拒绝服务	重要	是	是	4.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	CVE-2025-27189	仅限 B2B
不当的访问控制（CWE-284）	安全功能旁路	重要	是	是	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27190
不当的访问控制（CWE-284）	安全功能旁路	重要	是	是	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27191
凭据缺乏足够保护 (CWE-522)	安全功能旁路	中等	是	是	2.7	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N	CVE-2025-27192

注意:

利用漏洞需要验证身份：该漏洞无需凭据即可被利用（或无法利用）。

利用漏洞需要管理员权限：该漏洞仅具有管理员权限的攻击者可以利用（或无法利用）。

鸣谢

Adobe 衷心感谢以下研究人员报告这些问题并与 Adobe 一起保护我们的客户：

sheikhrishad0 - CVE-2025-27190、CVE-2025-27191

Akash Hamal (akashhamal0x01) - CVE-2025-27188
Bobby Tabl35 (bobbytabl35_) - CVE-2025-27189
Javier Corral (corraldev) - CVE-2025-27192

注意：Adobe 通过 HackerOne 开展私密的有奖挖洞邀请项目。如果您有兴趣作为外部安全研究人员与 Adobe 合作，请填写此表格，用于后续流程。

有关更多信息，请访问 https://helpx.adobe.com/cn/security.html，或发送电子邮件至 PSIRT@adobe.com。

Adobe 安全公告

摘要

受影响的版本

解决方案

漏洞详情

鸣谢

更快、更轻松地获得帮助

共享此页面

在社区提问

联系我们