Bulletin-ID
Sidst opdateret den
24. apr. 2025
Sikkerhedsopdatering til Adobe Commerce | APSB25-26
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB25-26 |
8. april 2025 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser vigtige og moderate sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kunne resultere i omgåelse af sikkerhedsfunktioner, eskalering af rettigheder og denial-of-service på applikationsniveau.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 og tidligere 2.4.6-p9 og tidligere 2.4.5-p11 og tidligere 2.4.4-p12 og tidligere |
Alle |
| Adobe Commerce B2B |
1.5.1 og tidligere 1.4.2-p4 og tidligere 1.3.5-p9 og tidligere 1.3.4-p11 og tidligere 1.3.3-p12 og tidligere |
Alle |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 og tidligere 2.4.6-p9 og tidligere 2.4.5-p11 og tidligere 2.4.4-p12 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8 til 2.4.8-beta2 2.4.7-p5 til 2.4.7-p4 og tidligere 2.4.6-p10 til 2.4.6-p9 og tidligere 2.4.5-p12 til 2.4.5-p11 og tidligere 2.4.4-p13 til 2.4.4-p12 og tidligere |
Alle |
2 |
|
| Adobe Commerce B2B |
1.5.2 til 1.5.1 1.4.2-p5 til 1.4.2-p4 og tidligere 1.3.5-p10 til 1.3.5-p9 og tidligere 1.3.4-p12 til 1.3.4-p11 og tidligere 1.3.3-p13 til 1.3.3-p12 og tidligere |
Alle | 2 | |
| Magento Open Source |
2.4.8 til 2.4.8-beta2 2.4.7-p5 til 2.4.7-p4 og tidligere 2.4.6-p10 til 2.4.6-p9 og tidligere 2.4.5-p12 til 2.4.5-p11 og tidligere 2.4.4-p13 til 2.4.4-p12 og tidligere |
Alle |
2 |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Ukorrekt autorisation (CWE-285) | Eskalering af rettigheder | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) | Denial-of-service for applikation | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Kun B2B |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Utilstrækkeligt beskyttelse af legitimationsoplysninger (CWE-522) | Sikkerhedsomgåelse | Moderat | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- sheikhrishad0 – CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) – CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) – CVE-2025-27189
- Javier Corral (corraldev) – CVE-2025-27192
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
