Bulletin-ID
Senast uppdaterad den
25 aug. 2025
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB25-71
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB25-71 |
12 augusti 2025 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Den här uppdateringen åtgärdar kritiska and viktiga sårbarheter. Lyckad utnyttjande kan leda till kringgående säkerhetsfunktioner, eskalering av privilegier, godtycklig läsning av filsystemet och överbelastning av program.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 och tidigare 2.4.7-p6 och tidigare 2.4.6-p11 och tidigare 2.4.5-p13 och tidigare 2.4.4-p14 och tidigare |
Alla |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 och tidigare 1.4.2-p6 och tidigare 1.3.5-p11 och tidigare 1.3.4-p13 och tidigare 1.3.3-p14 och tidigare |
Alla |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 och tidigare 2.4.7-p6 och tidigare 2.4.6-p11 och tidigare 2.4.5-p13 och tidigare |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Alla | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Alla | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Alla | 2 |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Felaktig validering av indata (CWE-20) | Överbelastningsattack mot program | Kritisk | Nej | Nej | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Serveröverskridande förfalskad begäran (CSRF) (CWE-352) |
Eskalering av behörighet | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Felaktig auktorisering (CWE-863) | Godtycklig läsning av filsystem | Kritisk | Ja | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Serveröverskridande skriptning (lagrad XSS) (CW-79) |
Eskalering av behörighet | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Tid-för-kontroll Tid-för-användning (TOCTOU) Problem vid programkörning (CWE-367) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
