Bulletin-ID
Sicherheitsupdate für Adobe Commerce verfügbar | APSB25-71
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
APSB25-71 |
12. August 2025 |
2 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische und wichtige Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Umgehung von Sicherheitsfunktionen, zur Eskalation von Privilegien, zum Lesen beliebiger Dateisysteme und zum Denial-of-Service von Anwendungen führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
Produkt | Version | Plattform |
---|---|---|
Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 und früher 2.4.7-p6 und früher 2.4.6-p11 und früher 2.4.5-p13 und früher 2.4.4-p14 und früher |
Alle |
Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 und früher 1.4.2-p6 und früher 1.3.5-p11 und früher 1.3.4-p13 und früher 1.3.3-p14 und früher |
Alle |
Magento Open Source | 2.4.9-alpha1 2.4.8-p1 und früher 2.4.7-p6 und früher 2.4.6-p11 und früher 2.4.5-p13 und früher |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
---|---|---|---|---|
Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Alle | 2 |
|
Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Alle | 2 | |
Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Alle | 2 |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
---|---|---|---|---|---|---|---|---|
Unangemessene Eingabevalidierung (CWE-20) | Denial-of-Service-Angriff auf Anwendungsebene | Kritisch | Nein | Nein | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Cross-Site Request Forgery (CSRF) (CWE-352) |
Berechtigungsausweitung | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
Falsche Autorisierung (CWE-863) | Willkürlicher Dateisystem-Lesezugriff | Kritisch | Ja | Ja | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Berechtigungsausweitung | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
Time-of-check Time-of-use (TOCTOU) Wettlaufsituation (CWE-367) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, besuchen Sie bitte https://hackerone.com/adobe.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.