ID del boletín
Última actualización el
23 oct. 2025
Actualización de seguridad disponible para Adobe Commerce | APSB25-94
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB25-94 |
14 de octubre de 2025 |
2 |
Resumen
Adobe ha publicado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades esenciales e importantes. Una explotación exitosa podría conducir a la elusión de funciones de seguridad, escalada de privilegios y ejecución arbitraria de código.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
| Producto | Versión | Nivel de prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores |
2 | Todas |
| Adobe Commerce B2B |
1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.5-p12 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores |
2 | Todas |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores |
2 | Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 para 2.4.9-alpha2 2.4.8-p3 para 2.4.8-p2 y anteriores 2.4.7-p8 para 2.4.7-p7 y anteriores 2.4.6-p13 para 2.4.6-p12 y anteriores 2.4.5-p15 para 2.4.5-p14 y anteriores 2.4.4 p16 para 2.4.4-p15 y anteriores |
Todas | 2 | Notas de la versión 2.4.x |
| Adobe Commerce B2B | 1.5.3-alpha3 para 1.5.3-alpha2 1.5.2-p3 para 1.5.2-p2 y anteriores 1.4.2-p8 para 1.4.2-p7 y anteriores 1.3.4-p15 para 1.3.4-p14 y anteriores 1.3.3-p14 para 1.3.3-p13 y versiones anteriores 1.3.3-p16 para 1.3.3-p15 y anteriores |
Todas | 2 | |
| Magento Open Source | 2.4.9-alpha3 para 2.4.9-alpha2 2.4.8-p3 para 2.4.8-p2 y anteriores 2.4.7-p8 para 2.4.7-p7 y anteriores 2.4.6-p13 para 2.4.6-p12 y anteriores |
Todas | 2 |
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE | Notas |
|---|---|---|---|---|---|---|---|---|
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Crítica | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Escalada de privilegios | Crítica | Sí | Sí | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Autorización incorrecta (CWE-863) | Omisión de la función de seguridad | Importante | No | No | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) | Ejecución de código arbitraria | Importante | Sí | Sí | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Autorización incorrecta (CWE-863) | Escalada de privilegios | Importante | Sí | Sí | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
NOTA: Adobe tiene un programa público de detección de errores con HackerOne. Si está interesado en trabajar con Adobe como investigador de seguridad externo, consulte: https://hackerone.com/adobe.
Revisiones
15 de octubre de 2025 -- CVE-2025-54263: Categoría de vulnerabilidad corregida, vector CVSS y puntuación base CVSS.
16 de octubre de 2025 -- Versión de solución corregida 1.3.4-p15 para 1.3.4-p14 y anteriores para adobe commerce B2B; Se eliminó la versión 2.4.5 de las versiones afectadas y de solución para Magento Open Source.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
