Référence du bulletin
Dernière mise à jour le
18 sept. 2025
Mise à jour de sécurité disponible pour Adobe Commerce | APSB25-88
|
|
Date de publication |
Priorité |
|---|---|---|
|
APSB25-88 |
9 septembre 2025 |
2 |
Récapitulatif
Adobe a publié une mise à jour de sécurité pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige une vulnérabilité critique. Une exploitation réussie peut entraîner un contournement des fonctions de sécurité.
Adobe n’a pas connaissance d’exploitations dans la nature des problèmes traités dans ces mises à jour.
Versions concernées
| Produit | Version | Priorité | Plate-forme |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 et versions antérieures 2.4.8-p2 et versions antérieures 2.4.7-p7 et versions antérieures 2.4.6-p12 et versions antérieures 2.4.5-p14 et versions antérieures 2.4.4-p15 et versions antérieures |
2 | Toutes |
| Adobe Commerce B2B |
1.5.3-alpha2 et versions antérieures 1.5.2-p2 et versions antérieures 1.4.2-p7 et versions antérieures 1.3.4-p14 et versions antérieures 1.3.3-p15 et versions antérieures |
2 | Toutes |
| Magento Open Source | 2.4.9-alpha2 et versions antérieures 2.4.8-p2 et versions antérieures 2.4.7-p7 et versions antérieures 2.4.6-p12 et versions antérieures 2.4.5-p14 et versions antérieures |
2 | Toutes |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
| Produit | Mise à jour | Plate-forme | Priorité | Instructions d’installation |
|---|---|---|---|---|
| Adobe Commerce et Magento Open Source | Correctif de la vulnérabilité CVE-2025-54236
Compatible avec toutes les versions d’Adobe Commerce et de Magento Open Source entre les versions 2.4.4 et 2.4.7 |
Toutes | 2 | Notes de mise à jour pour le correctif CVE-2025-54236
|
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels.
Détails concernant la vulnérabilité
| Catégorie de la vulnérabilité | Impact de la vulnérabilité | Gravité | Authentification requise pour l’exploitation ? | L’exploit nécessite des droits d’administrateur ? |
Score de base CVSS |
Vecteur CVSS |
Numéro(s) CVE | Remarques |
|---|---|---|---|---|---|---|---|---|
| Validation d’entrée incorrecte (CWE-20) | Contournement des fonctions de sécurité | Critique | Non | Non | 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54236 |
Remarque :
Authentification requise pour l’exploitation : la vulnérabilité est (ou n’est pas) exploitable sans informations d’identification.
L’exploit nécessite des droits d’administrateur : la vulnérabilité est (ou n’est pas) uniquement exploitable par un attaquant disposant de droits d’administration.
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients :
- blaklis -- CVE-2025-54236
REMARQUE : Adobe dispose d’un programme public de prime aux bogues avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur externe en sécurité, rendez-vous sur https://hackerone.com/adobe.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?