ID del boletín
Última actualización el
25 ago. 2025
Actualización de seguridad disponible para Adobe Commerce | APSB25-71
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB25-71 |
12 de agosto de 2025 |
2 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas e importantes. Una explotación exitosa podría dar lugar a la elusión de las funciones de seguridad, la escalada de privilegios, la lectura arbitraria del sistema de archivos y la denegación de servicio de la aplicación.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 y versiones anteriores 2.4.7-p6 y versiones anteriores 2.4.6-p11 y versiones anteriores 2.4.5-p13 y versiones anteriores 2.4.4-p14 y versiones anteriores |
Todas |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 y versiones anteriores 1.4.2-p6 y versiones anteriores 1.3.5-p11 y versiones anteriores 1.3.4-p13 y versiones anteriores 1.3.3-p14 y versiones anteriores |
Todas |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 y versiones anteriores 2.4.7-p6 y versiones anteriores 2.4.6-p11 y versiones anteriores 2.4.5-p13 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Todas | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Todas | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Todas | 2 |
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE | Notas |
|---|---|---|---|---|---|---|---|---|
| Validación incorrecta de la entrada (CWE-20) | Denegación de servicio de la aplicación | Crítico | No | No | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Falsificación de solicitud en sitios múltiples (CSRF) (CWE-352) |
Escalada de privilegios | Crítica | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Autorización incorrecta (CWE-863) | Lectura arbitraria del sistema de archivos | Crítica | Sí | Sí | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Escalada de privilegios | Crítica | Sí | Sí | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Time-of-check Time-of-use (TOCTOU) Race Condition (CWE-367) | Omisión de la función de seguridad | Importante | Sí | No | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Limitación incorrecta de un nombre de ruta a un directorio restringido ('Travesía de ruta') (CWE-22) | Omisión de la función de seguridad | Importante | Sí | Sí | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
