ID del boletín
Última actualización el
20 feb. 2025
Actualización de seguridad disponible para Adobe Commerce | APSB25-08
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB25-08 |
11 de febrero de 2025 |
1 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización soluciona vulnerabilidades críticas, importantes y moderadas. Esta vulnerabilidad podría dar lugar a la ejecución de código arbitrario, la omisión de la función de seguridad y la ampliación de privilegios.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 y versiones anteriores 2.4.6-p8 y versiones anteriores 2.4.5-p10 y versiones anteriores 2.4.4-p11 y versiones anteriores |
Todas |
| Adobe Commerce B2B |
1.5.0 y versiones anteriores 1.4.2-p3 y versiones anteriores |
Todas |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 y versiones anteriores 2.4.6-p8 y versiones anteriores 2.4.5-p10 y versiones anteriores 2.4.4-p11 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 para 2.4.8-beta1 |
Todas |
2 |
|
| Adobe Commerce B2B |
1.5.1 y versiones anteriores 1.4.2-p4 para 1.4.2-p3 y versiones anteriores |
Todas | 2 | |
| Magento Open Source |
2.4.8-beta2 para 2.4.8-beta1 |
Todas |
2 | |
| Adobe Commerce y Magento Open Source | Parche aislado para CVE-2025-24434 | Todas | 1 | Notas de la versión de parche aislado en CVE-2025-24434 |
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE | Notas |
|---|---|---|---|---|---|---|---|---|
| Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) | Escalación de privilegios | Crítica |
Sí | Sí | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Crítico | Sí | No | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Solo se aplica a edición B2B |
| Exposición de información (CWE-200) | Escalada de privilegios | Crítico | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Autorización incorrecta (CWE-285) | Omisión de la función de seguridad | Crítico | Sí | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Autorización incorrecta (CWE-285) | Escalada de privilegios | Crítico | No | No | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Crítico | Sí | Sí | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitrario | Crítica | Sí | Sí | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Violación de los principios de diseño seguro (CWE-657) | Escalada de privilegios | Importante | Sí | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Solo se aplica a edición B2B |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Solo se aplica a edición B2B |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Solo se aplica a edición B2B |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Importante | No | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Solo se aplica a edición B2B |
| Control de acceso incorrecto (CWE-284) | Escalada de privilegios | Importante | Sí | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Solo se aplica a edición B2B |
| Control de acceso incorrecto (CWE-284) | Escalada de privilegios | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Control de acceso incorrecto (CWE-284) | Escalada de privilegios | Importante | Sí | Sí | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Control de acceso incorrecto (CWE-284) | Escalada de privilegios | Importante | Sí | Sí | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Importante | Sí | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Solo se aplica a edición B2B |
| Errores de lógica empresarial (CWE-840) | Omisión de la función de seguridad | Importante | Sí | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Importante | Sí | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Solo se aplica a edición B2B |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Importante | Sí | Sí | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitraria | Importante | Sí | No | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Control de acceso incorrecto (CWE-284) | Omisión de la función de seguridad | Moderada | Sí | Sí | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Time-of-check Time-of-use (TOCTOU) Race Condition (CWE-367) | Omisión de la función de seguridad | Moderado | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Time-of-check Time-of-use (TOCTOU) Race Condition (CWE-367) | Omisión de la función de seguridad | Moderado | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Akash Hamal (akashhamal0x01) - CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie - CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche - CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio - CVE-2025-24407
- g0ndaar - CVE-2025-24430
- sheikhrishad0 - CVE-2025-24432
Icare - CVE-2025-24406
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
