Adobe セキュリティ速報

Adobe Commerce に関するセキュリティアップデート公開 | APSB25-71

情報 ID

公開日

優先度

APSB25-71

2025 年8月12日

2

要約

Adobe Commerce および Magento Open Source のセキュリティアップデートが公開されました。 このアップデートにより、クリティカルな脆弱性と重要な脆弱性が解決されます。この脆弱性が悪用されると、セキュリティ機能のバイパス、権限の昇格、任意のコード実行などの問題につながる恐れがあります。

本アップデートによって修正される脆弱性が、広く悪用されているという事例は確認されていません。

対象のバージョン

製品名 バージョン プラットフォーム
 Adobe Commerce

2.4.9-alpha1

2.4.8-p1 以前

2.4.7-p6 以前

2.4.6-p11 以前

2.4.5-p13 以前

2.4.4-p14 以前

すべて
Adobe Commerce B2B

1.5.3-alpha1

1.5.2-p1 以前

1.4.2-p6 以前

1.3.5-p11 以前

1.3.4-p13 以前

1.3.3-p14 以前

すべて
Magento Open Source

2.4.9-alpha1

2.4.8-p1 以前

2.4.7-p6 以前

2.4.6-p11 以前

2.4.5-p13 以前

すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名 アップデートバージョン プラットフォーム 優先度評価 インストール手順
Adobe Commerce

2.4.9-alpha2

2.4.8-p2

2.4.7-p7

2.4.6-p12

2.4.5-p14

2.4.4-p15

すべて 2

2.4.x リリースノート

 

Adobe Commerce B2B

1.5.3-alpha2

1.5.2-p2

1.4.2-p7

1.3.4-p14

1.3.3-p15

すべて 2
Magento Open Source 

2.4.9-alpha2

2.4.8-p2

2.4.7-p7

2.4.6-p12

2.4.5-p14

すべて 2

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

脆弱性に関する詳細

脆弱性のカテゴリー 脆弱性の影響 深刻度 悪用する場合に認証が必要か? 悪用する場合に管理者権限が必要か?
CVSS 基本スコア
CVSS ベクター
CVE 番号 メモ
不適切な入力検証(CWE-20 アプリケーションのサービス拒否 クリティカル いいえ いいえ 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE-2025-49554  

クロスサイト要求偽造(CSRF)(CWE-352
権限昇格 クリティカル はい はい 8.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N CVE-2025-49555  
不正な承認(CWE-863 任意のファイルシステム読み取り クリティカル はい はい 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVE-2025-49556  

クロスサイトスクリプティング(保存済み XSS)(CWE-79
権限昇格 クリティカル はい はい 8.7 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVE-2025-49557  
Time-of-check Time-of-use(TOCTOU)レースコンディション(CWE-367 セキュリティ機能のバイパス 重要 はい いいえ 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVE-2025-49558  
制限付きディレクトリへのパス名の制限(「パストラバーサル」)が正しくありません。(CWE-22 セキュリティ機能のバイパス 重要 はい はい 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVE-2025-49559  
注意:

悪用する場合に認証が必要: この脆弱性は、資格情報がないと悪用される可能性があります(またはありません)。


悪用する場合に管理者権限が必要: この脆弱性は、管理者権限を持つ攻撃者のみによって悪用される可能性があります(またはありません)。

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の研究者の皆様に対し、アドビより厚く御礼を申し上げます。

  • Kieran (kaiksi) -- CVE-2025-49554
  • Blaklis 氏(blaklis)- CVE-2025-49555
  • Akash Hamal 氏(akashhamal0x01)- CVE-2025-49556
  • wohlie -- CVE-2025-49557
  • Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558

 

注:アドビは、HackerOne と公開バグバウンティープログラムを実施しています。 外部セキュリティリサーチャーとしてアドビで働くことに興味がある方は、https://hackerone.com/adobe をご覧ください。.


詳しくは、https://helpx.adobe.com/jp/security.htmlを参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

Adobe, Inc.

ヘルプをすばやく簡単に入手

新規ユーザーの場合