Tiedotteen tunnus
Päivitetty viimeksi
9. toukokuuta 2025
Adobe Commercen tietoturvapäivitys | APSB25-08
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-08 |
11. helmikuuta 2025 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Päivitys korjaa kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, tietoturvaominaisuuksien ohittamiseen ja käyttöoikeuksien laajennukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 ja aiemmat versiot 2.4.6-p8 ja aiemmat versiot 2.4.5-p10 ja aiemmat versiot 2.4.4-p11 ja aiemmat versiot |
Kaikki |
| Adobe Commerce B2B |
1.5.0 ja aiemmat versiot 1.4.2-p3 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 ja aiemmat versiot 2.4.6-p8 ja aiemmat versiot 2.4.5-p10 ja aiemmat versiot 2.4.4-p11 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.8-beta1:lle |
Kaikki |
2 |
|
| Adobe Commerce B2B |
1.5.1 ja aiemmat versiot 1.4.2-p4 1.4.2-p3:lle ja aiemmille versioille |
Kaikki | 2 | |
| Magento Open Source |
2.4.8-beta2 2.4.8-beta1:lle |
Kaikki |
2 | |
| Adobe Commerce ja Magento Open Source | Erillinen korjaus haavoittuvuudelle CVE-2025-24434 | Kaikki | 1 | Haavoittuvuuden CVE-2025-24434 erillisen korjauksen julkaisutiedot |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Käyttöoikeuksien laajennus | Kriittinen |
Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Koskee vain B2B-versiota |
| Tietojen paljastuminen (CWE-200) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Virheellinen valtuutus (CWE-285) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Virheellinen valtuutus (CWE-285) | Käyttöoikeuksien laajennus | Kriittinen | Ei | Ei | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Kyllä | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Ei | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Koskee vain B2B-versiota |
| Liiketoimintalogiikkavirheet (CWE-840) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Ei | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Kohtalainen | Kyllä | Kyllä | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) | Tietoturvaominaisuuden ohitus | Kohtalainen | Ei | Ei | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) | Tietoturvaominaisuuden ohitus | Kohtalainen | Ei | Ei | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
16. huhtikuuta 2025: CVE-2025-24406:n osalta kohdissa ”Hyödyntäminen vaatii järjestelmänvalvojan oikeuksia” ja ”Hyödyntäminen edellyttää tunnistautumista” ”Kyllä” vaihdettiin ”Ei”ksi.
8. heinäkuuta 2024:
- Prioriteetiksi muutettu 1.
27. kesäkuuta 2024:
- Adobe on toimittanut erillisen korjauksen CVE-2024-34102:lle.
26. kesäkuuta 2024:
- Tarkistettu tiedotteen prioriteettia 3:sta 2:een. Adobe on tietoinen siitä, että CVE-2024-34102:een liittyy julkisesti saatavilla oleva kirjoitus.
- Poistettu soveltumattomat, elinkaarensa lopussa olevat laajennetun tuen versiot taulukoista Versiot ja Ratkaisuversiot
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.
