情報 ID
最終更新日 :
2025年2月20日
Adobe Commerce に関するセキュリティアップデート公開 | APSB25-08
|
|
公開日 |
優先度 |
|---|---|---|
|
APSB25-08 |
2025 年 2 月 11 日 |
1 |
要約
対象のバージョン
| 製品名 | バージョン | プラットフォーム |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 以前 2.4.6-p8 以前 2.4.5-p10 以前 2.4.4-p11 以前 |
すべて |
| Adobe Commerce B2B |
1.5.0 以前 1.4.2-p3 以前 |
すべて |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 以前 2.4.6-p8 以前 2.4.5-p10 以前 2.4.4-p11 以前 |
すべて |
解決策
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
| 製品名 | アップデートバージョン | プラットフォーム | 優先度評価 | インストール手順 |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta1 の場合は 2.4.8-beta2 に |
すべて |
2 |
|
| Adobe Commerce B2B |
1.5.1 以前 1.4.2-p3 以前の場合は 1.4.2-p4 に |
すべて | 2 | |
| Magento Open Source |
2.4.8-beta1 の場合は 2.4.8-beta2 に |
すべて |
2 | |
| Adobe Commerce および Magento Open Source | CVE-2025-24434 に対する個別のパッチ | すべて | 1 | CVE-2025-24434 に対する個別のパッチのリリースノート |
アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。
脆弱性に関する詳細
| 脆弱性のカテゴリー | 脆弱性の影響 | 深刻度 | 悪用する場合に認証が必要か? | 悪用する場合に管理者権限が必要か? |
CVSS 基本スコア |
CVSS ベクター |
CVE 番号 | メモ |
|---|---|---|---|---|---|---|---|---|
| 制限付きディレクトリへのパス名の制限(「パストラバーサル」)が正しくありません。(CWE-22) | 権限昇格 | クリティカル |
はい | はい | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| 不正な承認(CWE-863) | セキュリティ機能のバイパス | クリティカル | はい | いいえ | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | B2B エディションにのみ該当します |
| 情報漏えい(CWE-200) | 権限昇格 | クリティカル | はい | はい | 8.1 | :3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| 不正な認証(CWE-285) | セキュリティ機能のバイパス | クリティカル | はい | いいえ | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| 不正な認証(CWE-285) | 権限昇格 | クリティカル | いいえ | いいえ | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | クリティカル | はい | はい | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | クリティカル | はい | はい | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| 安全な設計原則への違反(CWE-657) | 権限昇格 | 重要 | はい | いいえ | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | B2B エディションにのみ該当します |
| 不正な承認(CWE-863) | セキュリティ機能のバイパス | 重要 | はい | いいえ | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | B2B エディションにのみ該当します |
| 不正な承認(CWE-863) | セキュリティ機能のバイパス | 重要 | はい | いいえ | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | B2B エディションにのみ該当します |
| 不正な承認(CWE-863) | セキュリティ機能のバイパス | 重要 | はい | はい | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | 重要 | いいえ | いいえ | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | B2B エディションにのみ該当します |
| 不正なアクセス制御(CWE-284) | 権限昇格 | 重要 | はい | いいえ | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | B2B エディションにのみ該当します |
| 不正なアクセス制御(CWE-284) | 権限昇格 | 重要 | はい | はい | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| 不正なアクセス制御(CWE-284) | 権限昇格 | 重要 | はい | はい | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| 不正なアクセス制御(CWE-284) | 権限昇格 | 重要 | はい | はい | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | 重要 | はい | いいえ | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | B2B エディションにのみ該当します |
| ビジネスロジックエラー(CWE-840) | セキュリティ機能のバイパス | 重要 | はい | いいえ | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | 重要 | はい | いいえ | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | B2B エディションにのみ該当します |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | 重要 | はい | はい | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| クロスサイトスクリプティング(保存済み XSS)(CWE-79) | 任意のコード実行 | 重要 | はい | いいえ | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| 不正なアクセス制御(CWE-284) | セキュリティ機能のバイパス | 中度 | はい | はい | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Time-of-check Time-of-use(TOCTOU)レースコンディション(CWE-367) | セキュリティ機能のバイパス | 中度 | いいえ | いいえ | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Time-of-check Time-of-use(TOCTOU)レースコンディション(CWE-367) | セキュリティ機能のバイパス | 中度 | いいえ | いいえ | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
注意:
悪用する場合に認証が必要: この脆弱性は、資格情報がないと悪用される可能性があります(またはありません)。
悪用する場合に管理者権限が必要: この脆弱性は、管理者権限を持つ攻撃者のみによって悪用される可能性があります(またはありません)。
謝辞
一連の問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。
- Akash Hamal(akashhamal0x01)様 - CVE-2025-24411、CVE-2025-24418、CVE-2025-24419、CVE-2025-24420、CVE-2025-24421、CVE-2025-24422、CVE-2025-24423、CVE-2025-24424、CVE-2025-24425、CVE-2025-24426、CVE-2025-24427、CVE-2025-24429、CVE-2025-24435、CVE-2025-24437
- wohlie 様 - CVE-2025-24408、CVE-2025-24410、CVE-2025-24412、CVE-2025-24413、CVE-2025-24414、CVE-2025-24415、CVE-2025-24416、CVE-2025-24417、CVE-2025-24436、CVE-2025-24438
- thlassche 様 - CVE-2025-24409、CVE-2025-24428、CVE-2025-24434
- Alexandrio 様 - CVE-2025-24407
- g0ndaar 様 - CVE-2025-24430
- sheikhrishad0 様 - CVE-2025-24432
Icare 様 - CVE-2025-24406
注:アドビは、HackerOne と非公開で招待制のバグバウンティープログラムを実施しています。アドビの外部セキュリティリサーチャーとして働くことに興味がある方は、次のステップをお知らせしますので、このフォームにご記入ください。
詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。
