Adobe-Sicherheitsbulletin

Sicherheitsupdate für Adobe Commerce verfügbar | APSB25-71

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB25-71

12. August 2025

2

Zusammenfassung

Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische und wichtige Sicherheitslücken.  Eine erfolgreiche Ausnutzung könnte zur Umgehung von Sicherheitsfunktionen, zur Eskalation von Privilegien, zum Lesen beliebiger Dateisysteme und zum Denial-of-Service von Anwendungen führen.

Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.

Betroffene Versionen

Produkt Version Plattform
 Adobe Commerce

2.4.9-alpha1

2.4.8-p1 und früher

2.4.7-p6 und früher

2.4.6-p11 und früher

2.4.5-p13 und früher

2.4.4-p14 und früher

Alle
Adobe Commerce B2B

1.5.3-alpha1

1.5.2-p1 und früher

1.4.2-p6 und früher

1.3.5-p11 und früher

1.3.4-p13 und früher

1.3.3-p14 und früher

Alle
Magento Open Source

2.4.9-alpha1

2.4.8-p1 und früher

2.4.7-p6 und früher

2.4.6-p11 und früher

2.4.5-p13 und früher

Alle

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Produkt Aktualisierte Version Plattform Priorität Installationsanweisungen
Adobe Commerce

2.4.9-alpha2

2.4.8-p2

2.4.7-p7

2.4.6-p12

2.4.5-p14

2.4.4-p15

Alle 2

2.4.x – Versionshinweise

 

Adobe Commerce B2B

1.5.3-alpha2

1.5.2-p2

1.4.2-p7

1.3.4-p14

1.3.3-p15

Alle 2
Magento Open Source 

2.4.9-alpha2

2.4.8-p2

2.4.7-p7

2.4.6-p12

2.4.5-p14

Alle 2

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.

Sicherheitslückendetails

Sicherheitslückenkategorie Sicherheitslückenauswirkung Problemstufe Exploit erfordert Authentifizierung? Exploit erfordert Admin-Rechte?
CVSS-Basispunktzahl
CVSS-Vektor
CVE-Nummern(n) Anmerkungen
Unangemessene Eingabevalidierung (CWE-20) Denial-of-Service-Angriff auf Anwendungsebene Kritisch Nein Nein 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2025-49554  

Cross-Site Request Forgery (CSRF) (CWE-352)
Berechtigungsausweitung Kritisch Ja Ja 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N CVE-2025-49555  
Falsche Autorisierung (CWE-863) Willkürlicher Dateisystem-Lesezugriff Kritisch Ja Ja 7,5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVE-2025-49556  

Cross-Site-Scripting (beständiges XSS) (CWE-79)
Berechtigungsausweitung Kritisch Ja Ja 8.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2025-49557  
Time-of-check Time-of-use (TOCTOU) Wettlaufsituation (CWE-367) Umgehung der Sicherheitsfunktionen Wichtig Ja Nein 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2025-49558  
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) Umgehung der Sicherheitsfunktionen Wichtig Ja Ja 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVE-2025-49559  
Hinweis:

Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).


Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.

Danksagung

Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:

  • Kieran (kaiksi) -- CVE-2025-49554
  • blaklis -- CVE-2025-49555
  • Akash Hamal (akashhamal0x01) -- CVE-2025-49556
  • wohlie -- CVE-2025-49557
  • Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558

 

HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, besuchen Sie bitte https://hackerone.com/adobe.


Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

Adobe, Inc.

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?