ID bulletinu
Naposledy aktualizováno
24. 4. 2025
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce | APSB25-26
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB25-26 |
8. dubna 2025 |
2 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší důležité a středně důležité chyby zabezpečení. Úspěšné zneužití této chyby by mohlo vést k obcházení bezpečnostních funkcí, zvyšování oprávnění a útokům DoS na aplikace.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Postižené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 a starší 2.4.6-p9 a starší 2.4.5-p11 a starší 2.4.4-p12 a starší |
Vše |
| Adobe Commerce B2B |
1.5.1 a starší 1.4.2-p4 a starší 1.3.5-p9 a starší 1.3.4-p11 a starší 1.3.3-p12 a starší |
Vše |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 a starší 2.4.6-p9 a starší 2.4.5-p11 a starší 2.4.4-p12 a starší |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8 pro 2.4.8-beta2 2.4.7-p5 pro 2.4.7-p4 a starší 2.4.6-p10 pro 2.4.6-p9 a starší 2.4.5-p12 pro 2.4.5-p11 a starší 2.4.4-p13 pro 2.4.4-p12 a starší |
Vše |
2 |
|
| Adobe Commerce B2B |
1.5.2 pro 1.5.1 1.4.2-p5 pro 1.4.2-p4 a starší 1.3.5-p10 pro 1.3.5-p9 a starší 1.3.4-p12 pro 1.3.4-p11 a starší 1.3.3-p13 pro 1.3.3-p12 a starší |
Vše | 2 | |
| Magento Open Source |
2.4.8 pro 2.4.8-beta2 2.4.7-p5 pro 2.4.7-p4 a starší 2.4.6-p10 pro 2.4.6-p9 a starší 2.4.5-p12 pro 2.4.5-p11 a starší 2.4.4-p13 pro 2.4.4-p12 a starší |
Vše |
2 |
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Neodpovídající ověření totožnosti (CWE-285) | Eskalace oprávnění | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Útok CSRF (Cross-Site Request Forgery) (CWE-352) | Útoky DoS na aplikace | Důležitá | Ano | Ano | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Pouze sada B2B |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Nedostatečně chráněné přihlašovací údaje (CWE-522) | Obcházení bezpečnostních funkcí | Střední | Ano | Ano | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- sheikhrishad0 – CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) – CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) – CVE-2025-27189
- Javier Corral (corraldev) – CVE-2025-27192
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
