Bulletin-ID
Sist oppdatert
24. apr. 2025
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB25-26
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB25-26 |
8. april 2025 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser viktige og moderate sikkerhetsproblemer. Utnyttelse kan føre til omgåelse av sikkerhetsfunksjoner, eskalering av rettigheter og tjenestenekt for applikasjoner.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 og eldre versjoner 2.4.6-p9 og eldre versjoner 2.4.5-p11 og eldre versjoner 2.4.4-p12 og eldre versjoner |
Alle |
| Adobe Commerce B2B |
1.5.1 og eldre versjoner 1.4.2-p4 og eldre versjoner 1.3.5-p9 og eldre versjoner 1.3.4-p11 og eldre versjoner 1.3.3-p12 og eldre versjoner |
Alle |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 og eldre versjoner 2.4.6-p9 og eldre versjoner 2.4.5-p11 og eldre versjoner 2.4.4-p12 og eldre versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8 for 2.4.8-beta2 2.4.7-p5 for 2.4.7-p4 og eldre versjoner 2.4.6-p10 for 2.4.6-p9 og eldre versjoner 2.4.5-p12 for 2.4.5-p11 og eldre versjoner 2.4.4-p13 for 2.4.4-p12 og eldre versjoner |
Alle |
2 |
|
| Adobe Commerce B2B |
1.5.2 for 1.5.1 1.4.2-p5 for 1.4.2-p4 og eldre versjoner 1.3.5-p10 for 1.3.5-p9 og eldre versjoner 1.3.4-p12 for 1.3.4-p11 og eldre versjoner 1.3.3-p13 for 1.3.3-p12 og eldre versjoner |
Alle | 2 | |
| Magento Open Source |
2.4.8 for 2.4.8-beta2 2.4.7-p5 for 2.4.7-p4 og eldre versjoner 2.4.6-p10 for 2.4.6-p9 og eldre versjoner 2.4.5-p12 for 2.4.5-p11 og eldre versjoner 2.4.4-p13 for 2.4.4-p12 og eldre versjoner |
Alle |
2 |
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Upassende autorisasjon (CWE-285) | Rettighetsutvidelse | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Forfalskning av forespørsler på tvers av nettsteder (CSRF) (CWE-352) | Tjenestenekt for program | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Kun B2B |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Utilstrekkelig beskyttet legitimasjon (CWE-522) | Omgåelse av sikkerhetsfunksjon | Moderat | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- sheikhrishad0 - CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) - CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) - CVE-2025-27189
- Javier Corral (corraldev) – CVE-2025-27192
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
