ID do boletim
Última atualização em
24/04/2025
Atualização de segurança disponível para o Adobe Commerce | APSB25-26
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-26 |
8 de abril de 2025 |
2 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essa atualização processa vulnerabilidades importantes e moderadas . A exploração bem-sucedida pode levar a falhas no recurso de segurança, escalonamento de privilégios e negação de serviço do aplicativo.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 e anteriores 2.4.6-p9 e anteriores 2.4.5-p11 e anteriores 2.4.4-p12 e anteriores |
Todas |
| Adobe Commerce B2B |
1.5.1 e anteriores 1.4.2-p4 e anteriores 1.3.5-p9 e anteriores 1.3.4-p11 e anteriores 1.3.3-p12 e anteriores |
Todas |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 e anteriores 2.4.6-p9 e anteriores 2.4.5-p11 e anteriores 2.4.4-p12 e anteriores |
Todas |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8 para 2.4.8-beta2 2.4.7-p5 para 2.4.7-p4 e anteriores 2.4.6-p10 para 2.4.6-p9 e anteriores 2.4.5-p12 para 2.4.5-p11 e anteriores 2.4.4-p13 para 2.4.4-p12 e anteriores |
Todas |
2 |
|
| Adobe Commerce B2B |
1.5.2 para 1.5.1 1.4.2-p5 para 1.4.2-p4 e anteriores 1.3.5-p10 para 1.3.5-p9 e anteriores 1.3.4-p12 para 1.3.4-p11 e anteriores 1.3.3-p13 para 1.3.3-p12 e anteriores |
Todas | 2 | |
| Magento Open Source |
2.4.8 para 2.4.8-beta2 2.4.7-p5 para 2.4.7-p4 e anteriores 2.4.6-p10 para 2.4.6-p9 e anteriores 2.4.5-p12 para 2.4.5-p11 e anteriores 2.4.4-p13 para 2.4.4-p12 e anteriores |
Todas |
2 |
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Autorização inadequada (CWE-285) | Escalonamento de privilégios | Importante | Sim | Sim | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Falsificação de solicitação entre sites (CSRF) (CWE-352) | Negação de serviço de aplicativo | Importante | Sim | Sim | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Somente B2B |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Sim | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Sim | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Credenciais com proteção insuficiente (CWE-522) | Falha de recurso de segurança | Moderado | Sim | Sim | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- sheikhrishad0 – CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) – CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) – CVE-2025-27189
- Javier Corral (corraldev) – CVE-2025-27192
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
