Bulletin-ID
Zuletzt aktualisiert am
8. Juli 2025
Sicherheitsupdate für Adobe Commerce verfügbar | APSB25-50
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB25-50 |
10. Juni 2025 |
1 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische, wichtige und moderate Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Umgehung von Sicherheitsfunktionen, zur Berechtigungsausweitung und zu willkürlicher Codeausführung führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 und früher 2.4.6-p10 und früher 2.4.5-p12 und früher 2.4.4-p13 und früher |
Alle |
| Adobe Commerce B2B |
1.5.2 und früher 1.4.2-p5 und früher 1.3.5-p10 und früher 1.3.4-p12 und früher 1.3.3-p13 und früher |
Alle |
| Magento Open Source | 2.4.8 2.4.7-p5 und früher 2.4.6-p10 und früher 2.4.5-p12 und früher |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 für 2.4.8 2.4.7-p6 für 2.4.7-p5 und früher 2.4.6-p11 für 2.4.6-p10 und früher 2.4.5-p13 für 2.4.5-p12 und früher 2.4.4-p14 für 2.4.4-p13 und früher |
Alle |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 für 1.5.2 1.4.2-p6 für 1.4.2-p5 und früher 1.3.4-p13 für 1.3.4-p12 und früher 1.3.3-p14 für 1.3.3-p13 und früher |
Alle | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 für 2.4.8 2.4.7-p6 für 2.4.7-p5 und früher 2.4.6-p11 für 2.4.6-p10 und früher 2.4.5-p13 für 2.4.5-p12 und früher |
Alle |
2 | |
| Adobe Commerce und Magento Open Source | Isolierter Patch für CVE-2025-47110 | Alle | 1 | Versionshinweise für isoliertes Patch auf CVE-2025-47110 |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) | Willkürliche Codeausführung | Kritisch | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Unzulässige Autorisierung (CWE-285) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Nein | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Nur B2B |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Nur B2B |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Nein | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Mittel | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 - CVE-2025-27206
- wohlie - CVE-2025-27207
- T. H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Überarbeitungen
25. Juni 2025: hat CVE-2025-49549 und CVE-2025-49550 hinzugefügt
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
