Tiedotteen tunnus
Päivitetty viimeksi
8. heinäkuuta 2025
Adobe Commercen tietoturvapäivitys | APSB25-50
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-50 |
10. kesäkuuta 2025 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Päivitys korjaa kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa tietoturvaominaisuuksien ohittamiseen, käyttöoikeuksien laajennukseen ja mielivaltaisen koodin suorittamiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 ja aiemmat versiot 2.4.6-p10 ja aiemmat versiot 2.4.5-p12 ja aiemmat versiot 2.4.4-p13 ja aiemmat versiot |
Kaikki |
| Adobe Commerce B2B |
1.5.2 ja aiemmat versiot 1.4.2-p5 ja aiemmat versiot 1.3.5-p10 ja aiemmat versiot 1.3.4-p12 ja aiemmat versiot 1.3.3-p13 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.8 2.4.7-p5 ja aiemmat versiot 2.4.6-p10 ja aiemmat versiot 2.4.5-p12 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 2.4.8:lle 2.4.7-p6 2.4.7-p5:lle ja aikaisemmille versioille 2.4.6-p11 2.4.6-p10:lle ja aikaisemmille versioille 2.4.5-p13 2.4.5-p12:lle ja aikaisemmille versioille 2.4.4-p14 2.4.4-p13:lle ja aikaisemmille versioille |
Kaikki |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 1.5.2:lle 1.4.2-p6 1.4.2-p5:lle ja aikaisemmille versioille 1.3.4-p13 1.3.4-p12:lle ja aikaisemmille versioille 1.3.3-p14 1.3.3-p13:lle ja aikaisemmille versioille |
Kaikki | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 2.4.8:lle 2.4.7-p6 2.4.7-p5:lle ja aikaisemmille versioille 2.4.6-p11 2.4.6-p10:lle ja aikaisemmille versioille 2.4.5-p13 2.4.5-p12:lle ja aikaisemmille versioille |
Kaikki |
2 | |
| Adobe Commerce ja Magento Open Source | Erillinen korjaus CVE-2025-47110:een | Kaikki | 1 | CVE-2025-47110:n erillisen korjauksen julkaisutiedot |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Virheellinen valtuutus (CWE-285) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Vain B2B |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Vain B2B |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Ei | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kohtalainen | Kyllä | Kyllä | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 – CVE-2025-27206
- wohlie – CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Versiot
25. kesäkuuta 2025: Lisätty CVE-2025-49549 ja CVE-2025-49550
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
