Bulletin-ID
Sidst opdateret den
8. jul. 2025
Sikkerhedsopdatering til Adobe Commerce | APSB25-50
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB25-50 |
10. juni 2025 |
1 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske, vigtige og moderate sårbarheder. Vellykket udnyttelse kan føre til omgåelse af sikkerhedsfunktioner, eskalering af rettigheder og aktivering af vilkårlig kode.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 og tidligere 2.4.6-p10 og tidligere 2.4.5-p12 og tidligere 2.4.4-p13 og tidligere |
Alle |
| Adobe Commerce B2B |
1.5.2 og tidligere 1..4.2-p5 og tidligere 1.3.5-p10 og tidligere 1.3.4-p12 og tidligere 1.3.3-p13 og tidligere |
Alle |
| Magento Open Source | 2.4.8 2.4.7-p5 og tidligere 2.4.6-p10 og tidligere 2.4.5-p12 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 for 2.4.8 2.4.7-p6 til 2.4.7-p5 og tidligere 2.4.6-p11 til 2.4.6-p10 og tidligere 2.4.5-p13 til 2.4.5-p12 og tidligere 2.4.4-p14 til 2.4.4-p13 og tidligere |
Alle |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 til 1.5.2 1.4.2-p6 til 1.4.2-p5 og tidligere 1.3.4-p13 til 1.3.4-p12 og tidligere 1.3.3-p14 til 1.3.3-p13 og tidligere |
Alle | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 for 2.4.8 2.4.7-p6 til 2.4.7-p5 og tidligere 2.4.6-p11 til 2.4.6-p10 og tidligere 2.4.5-p13 til 2.4.5-p12 og tidligere |
Alle |
2 | |
| Adobe Commerce og Magento Open Source | Specifik patch til CVE-2025-47110 | Alle | 1 | Produktbemærkninger til den specifikke patch til CVE-2025-47110 |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Cross-site scripting (reflekteret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Ukorrekt autorisation (CWE-285) | Sikkerhedsomgåelse | Kritisk | Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtigt | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Kun B2B |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtigt | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Kun B2B |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Nej | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Moderat | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 – CVE-2025-27206
- wohlie – CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Ændringer
25. juni 2025: Tilføjet CVE-2025-49549 og CVE-2025-49550
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
