ID bulletinu
Naposledy aktualizováno
20. 2. 2025
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB25-08
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB25-08 |
11. února 2025 |
1 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritické, důležité a středně závažné chyby zabezpečení. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu, obcházení bezpečnostních funkcí a zvýšení oprávnění.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 a starší 2.4.6-p8 a starší 2.4.5-p10 a starší 2.4.4-p11 a starší |
Vše |
| Adobe Commerce B2B |
1.5.0 a starší 1.4.2-p3 a starší |
Vše |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 a starší 2.4.6-p8 a starší 2.4.5-p10 a starší 2.4.4-p11 a starší |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 pro 2.4.8-beta1 |
Vše |
2 |
|
| Adobe Commerce B2B |
1.5.1 a starší 1.4.2-p4 pro 1.4.2-p3 a starší |
Vše | 2 | |
| Magento Open Source |
2.4.8-beta2 pro 2.4.8-beta1 |
Vše |
2 | |
| Adobe Commerce a Magento Open Source | Izolovaná oprava pro CVE-2025-24434 | Vše | 1 | Poznámky k verzi pro izolovanou opravu v CVE-2025-24434 |
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22) | Eskalace oprávnění | Kritická |
Ano | Ano | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Kritická | Ano | Ne | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Platí pouze pro verzi B2B |
| Expozice informací (CWE-200) | Eskalace oprávnění | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Neodpovídající ověření totožnosti (CWE-285) | Obcházení bezpečnostních funkcí | Kritická | Ano | Ne | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Neodpovídající ověření totožnosti (CWE-285) | Eskalace oprávnění | Kritická | Ne | Ne | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Kritická | Ano | Ano | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Kritická | Ano | Ano | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Porušení principů bezpečného designu (CWE-657) | Eskalace oprávnění | Důležitá | Ano | Ne | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Platí pouze pro verzi B2B |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Platí pouze pro verzi B2B |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Platí pouze pro verzi B2B |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ne | Ne | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Platí pouze pro verzi B2B |
| Nesprávné řízení přístupu (CWE-284) | Eskalace oprávnění | Důležitá | Ano | Ne | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Platí pouze pro verzi B2B |
| Nesprávné řízení přístupu (CWE-284) | Eskalace oprávnění | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Nesprávné řízení přístupu (CWE-284) | Eskalace oprávnění | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Nesprávné řízení přístupu (CWE-284) | Eskalace oprávnění | Důležitá | Ano | Ano | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Platí pouze pro verzi B2B |
| Chyby obchodní logiky (CWE-840) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Platí pouze pro verzi B2B |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | Ano | Ne | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Střední | Ano | Ano | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Souběh typu TOCTOU (Time-of-check Time-of-use) (CWE-367) | Obcházení bezpečnostních funkcí | Střední | Ne | Ne | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Souběh typu TOCTOU (Time-of-check Time-of-use) (CWE-367) | Obcházení bezpečnostních funkcí | Střední | Ne | Ne | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
