Bulletin-ID
Zuletzt aktualisiert am
27. Oktober 2025
Sicherheitsupdate für Adobe Commerce APSB25-94
verfügbar
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB25-94 |
14. Oktober 2025 |
2 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt kritische und wichtige Sicherheitslücken. Eine erfolgreiche Ausnutzung könnte zur Umgehung von Sicherheitsfunktionen, zur Ausweitung von Berechtigungen und zur Ausführung von beliebigem Code führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Prioritätseinstufung | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 und früher 2.4.8-p2 und früher 2.4.7-p7 und früher 2.4.6-p12 und früher 2.4.5-p14 und früher 2.4.4-p15 und früher |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha2 und früher 1.5.2-p2 und früher 1.4.2-p7 und früher 1.3.5-p12 und früher 1.3.4-p14 und früher 1.3.3-p15 und früher |
2 | Alle |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 und früher 2.4.7-p7 und früher 2.4.6-p12 und früher |
2 | Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 für 2.4.9-alpha2 2.4.8-p3 für 2.4.8-p2 und früher 2.4.7-p8 für 2.4.7-p7 und früher 2.4.6-p13 für 2.4.6-p12 und früher 2.4.5-p15 für 2.4.5-p14 und früher 2.4.4 p16 für 2.4.4-p15 und früher |
Alle | 2 | 2.4.x – Versionshinweise |
| Adobe Commerce B2B | 1.5.3-alpha3 für 1.5.3-alpha2 1.5.2-p3 für 1.5.2-p2 und früher 1.4.2-p8 für 1.4.2-p7 und früher 1.3.4-p15 für 1.3.4-p14 und früher 1.3.3-p14 für 1.3.3-p13 und früher 1.3.3-p16 für 1.3.3-p15 und früher |
Alle | 2 | |
| Magento Open Source | 2.4.9-alpha3 für 2.4.9-alpha2 2.4.8-p3 für 2.4.8-p2 und früher 2.4.7-p8 für 2.4.7-p7 und früher 2.4.6-p13 für 2.4.6-p12 und früher |
Alle | 2 |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Berechtigungsausweitung | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Nein | Nein | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Codeausführung | Wichtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Falsche Autorisierung (CWE-863) | Berechtigungsausweitung | Wichtig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Sicherheitslücke kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
HINWEIS: Adobe hat ein öffentliches Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, besuchen Sie bitte https://hackerone.com/adobe.
Überarbeitungen
15. Oktober 2025 -- CVE-2025-54263: Korrigierte Schwachstellenkategorie, CVSS-Vektor und CVSS-Basisscore.
16. Oktober 2025 -- Korrigierte Lösungsversion 1.3.4-p15 für 1.3.4-p14 und früher für adobe commerce B2B; Version 2.4.5 wurde aus den betroffenen und Lösungsversionen für Magento Open Source entfernt.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
