Bulletin-ID
Sist oppdatert
25. aug. 2025
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB25-71
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB25-71 |
12. august 2025 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske og viktige sårbarheter. Vellykket utnyttelse kan føre til omgåelse av sikkerhetsfunksjoner, eskalering av rettigheter, vilkårlig lesing av filsystemet og tjenestenekt for applikasjoner.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 og tidligere 2.4.7-p6 og tidligere 2.4.6-p11 og tidligere 2.4.5-p13 og tidligere 2.4.4-p14 og tidligere |
Alle |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 og tidligere 1.4.2-p6 og tidligere 1.3.5-p11 og tidligere 1.3.4-p13 og tidligere 1.3.3-p14 og tidligere |
Alle |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 og tidligere 2.4.7-p6 og tidligere 2.4.6-p11 og tidligere 2.4.5-p13 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Alle | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Alle | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Alle | 2 |
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Feil inndatavalidering (CWE-20) | Tjenestenekt for program | Kritisk | No | No | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Forfalskning av forespørsler på tvers av nettsteder (CSRF) (CWE-352) |
Rettighetsutvidelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Feil autorisasjon (CWE-863) | Arbitrært filsystem-lesing | Kritisk | Ja | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Rettighetsutvidelse | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Tid for kontroll av brukstid (TOCTOU) Race Condition (CWE-367) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du se https://hackerone.com/adobe.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
