Référence du bulletin
Dernière mise à jour le
8 juil. 2025
Mise à jour de sécurité disponible pour Adobe Commerce | APSB25-50
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB25-50 |
10 juin 2025 |
1 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige des vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités est susceptible d’entraîner l’exécution de code arbitraire, le contournement de fonctions de sécurité et la réaffectation de privilèges.
Adobe n’a pas connaissance d’exploitations dans la nature des problèmes traités dans ces mises à jour.
Versions concernées
| Produit | Version | Plate-forme |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 et versions antérieures 2.4.6-p10 et versions antérieures 2.4.5-p12 et versions antérieures 2.4.4-p13 et versions antérieures |
Toutes |
| Adobe Commerce B2B |
1.5.2 et versions antérieures 1.4.2-p5 et versions antérieures 1.3.5-p10 et versions antérieures 1.3.4-p12 et versions antérieures 1.3.3-p13 et versions antérieures |
Toutes |
| Magento Open Source | 2.4.8 2.4.7-p5 et versions antérieures 2.4.6-p10 et versions antérieures 2.4.5-p12 et versions antérieures |
Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
| Produit | Mise à jour | Plate-forme | Priorité | Instructions d’installation |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 pour 2.4.8 2.4.7-p6 pour 2.4.7-p5 et versions antérieures 2.4.6-p11 pour 2.4.6-p10 et versions antérieures 2.4.5-p13 pour 2.4.5-p12 et versions antérieures 2.4.4-p14 pour 2.4.4-p13 et versions antérieures |
Toutes |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 pour 1.5.2 1.4.2-p6 pour 1.4.2-p5 et versions antérieures 1.3.4-p13 pour 1.3.4-p12 et versions antérieures 1.3.3-p14 pour 1.3.3-p13 et versions antérieures |
Toutes | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 pour 2.4.8 2.4.7-p6 pour 2.4.7-p5 et versions antérieures 2.4.6-p11 pour 2.4.6-p10 et versions antérieures 2.4.5-p13 pour 2.4.5-p12 et versions antérieures |
Toutes |
2 | |
| Adobe Commerce et Magento Open Source | Correctif isolé pour CVE-2025-47110 | Toutes | 1 | Notes de mise à jour pour le correctif isolé sur CVE-2025-47110 |
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Authentification requise pour l’exploitation ? | L’exploit nécessite des droits d’administrateur ? |
Score de base CVSS |
Vecteur CVSS |
Numéro(s) CVE | Remarques |
|---|---|---|---|---|---|---|---|---|
| Cross-site scripting (XSS réfléchi) (CWE-79) | Exécution de code arbitraire | Critique | Oui | Oui | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Autorisation incorrecte (CWE-285) | Contournement des fonctions de sécurité | Critique | Oui | Non | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Contrôle d’accès incorrect (CWE-284) | Contournement des fonctions de sécurité | Importante | Oui | Oui | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Contrôle d’accès incorrect (CWE-284) | Réaffectation de privilèges | Importante | Oui | Oui | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | B2B uniquement |
| Contrôle d’accès incorrect (CWE-284) | Réaffectation de privilèges | Importante | Oui | Oui | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | B2B uniquement |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Importante | Non | Non | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Autorisation incorrecte (CWE-863) | Contournement des fonctions de sécurité | Modéré | Oui | Oui | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Remarque :
Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.
L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 - CVE-2025-27206
- wohlie - CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
REMARQUE : Adobe dispose d’un programme privé de prime aux bogues, accessible sur invitation uniquement, avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur en sécurité externe, remplissez ce formulaire pour les étapes suivantes.
Révisions
25 juin 2025 : ajout de CVE-2025-49549 et CVE-2025-49550
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?