Tiedotteen tunnus
Päivitetty viimeksi
25. elokuuta 2025
Tietoturvapäivitys saatavilla Adobe Commercelle | APSB25-71
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-71 |
12. elokuuta 2025 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Päivitys korjaa kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa tietoturvaominaisuuksien ohittamiseen, käyttöoikeuksien laajentumiseen, mielivaltaisen tiedostojärjestelmän lukemiseen ja sovelluksen palvelunestoon.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 ja aiemmat versiot 2.4.7-p6 ja aiemmat versiot 2.4.6-p11 ja aiemmat versiot 2.4.5-p13 ja aiemmat versiot 2.4.4-p14 ja aiemmat versiot |
Kaikki |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 ja aiemmat versiot 1.4.2-p6 ja aiemmat versiot 1.3.5-p11 ja aiemmat versiot 1.3.4-p13 ja aiemmat versiot 1.3.3-p14 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 ja aiemmat versiot 2.4.7-p6 ja aiemmat versiot 2.4.6-p11 ja aiemmat versiot 2.4.5-p13 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Kaikki | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Kaikki | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Kaikki | 2 |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Virheellinen syötteen tarkistus (CWE-20) | Sovelluksen palvelunesto | Kriittinen | Ei | Ei | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352) |
Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Virheellinen valtuutus (CWE-863) | Mielivaltainen tiedostojärjestelmän luku | Kriittinen | Kyllä | Kyllä | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
