ID bollettino
Ultimo aggiornamento il
24 apr 2025
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB25-26
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB25-26 |
mercoledì 8 aprile 2025 |
2 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità importanti e moderate. Un eventuale sfruttamento potrebbe provocare l’aggiramento delle funzioni di sicurezza, l’acquisizione illecita di privilegi e la negazione del servizio dell’applicazione.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 e versioni precedenti 2.4.6-p9 e versioni precedenti 2.4.5-p11 e versioni precedenti 2.4.4-p12 e versioni precedenti |
Tutte |
| Adobe Commerce B2B |
1.5.1 e versioni precedenti 1.4.2-p4 e versioni precedenti 1.3.5-p9 e versioni precedenti 1.3.4-p11 e versioni precedenti 1.3.3-p12 e versioni precedenti |
Tutte |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 e versioni precedenti 2.4.6-p9 e versioni precedenti 2.4.5-p11 e versioni precedenti 2.4.4-p12 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8 per 2.4.8-beta2 2.4.7-p5 per 2.4.7-p4 e versioni precedenti 2.4.6-p10 per 2.4.6-p9 e versioni precedenti 2.4.5-p12 per 2.4.5-p11 e versioni precedenti 2.4.4-p13 per 2.4.4-p12 e versioni precedenti |
Tutte |
2 |
|
| Adobe Commerce B2B |
1.5.2 per 1.5.1 1.4.2-p5 per 1.4.2-p4 e versioni precedenti 1.3.5-p10 per 1.3.5-p9 e versioni precedenti 1.3.4-p12 per 1.3.4-p11 e versioni precedenti 1.3.3-p13 per 1.3.3-p12 e versioni precedenti |
Tutte | 2 | |
| Magento Open Source |
2.4.8 per 2.4.8-beta2 2.4.7-p5 per 2.4.7-p4 e versioni precedenti 2.4.6-p10 per 2.4.6-p9 e versioni precedenti 2.4.5-p12 per 2.4.5-p11 e versioni precedenti 2.4.4-p13 per 2.4.4-p12 e versioni precedenti |
Tutte |
2 |
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l’utilizzo? | L’utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Autorizzazione impropria (CWE-285) | Acquisizione illecita di privilegi | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Vulnerabilità cross-site request forgery (CSRF) (CWE-352) | Attacco Denial of Service all’applicazione | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Solo B2B |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Credenziali non sufficientemente protette (CWE-522) | Aggiramento della funzione di sicurezza | Moderata | Sì | Sì | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Nota:
È richiesta l’autenticazione per l’utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L’utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- sheikhrishad0 - CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) - CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) - CVE-2025-27189
- Javier Corral (corraldev) - CVE-2025-27192
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un’e-mail a PSIRT@adobe.com.
