ID bulletinu
Naposledy aktualizováno
25. 8. 2025
APSB25-71: Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Commerce
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB25-71 |
12. srpna 2025 |
2 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritické a důležité chyby zabezpečení. Úspěšné zneužití těchto chyb by mohlo vést k obcházení bezpečnostních funkcí, zvýšení oprávnění a svévolnému spuštění kódu.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 a starší verze 2.4.7-p6 a starší verze 2.4.6-p11 a starší verze 2.4.5-p13 a starší verze 2.4.4-p14 a starší verze |
Vše |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 a starší verze 1.4.2-p6 a starší verze 1.3.5-p11 a starší verze 1.3.4-p13 a starší verze 1.3.3-p14 a starší verze |
Vše |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 a starší verze 2.4.7-p6 a starší verze 2.4.6-p11 a starší verze 2.4.5-p13 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Vše | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Vše | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Vše | 2 |
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Nesprávné ověření vstupu (CWE-20) | Útoky DoS na aplikace | Kritická | Ne | Ne | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Útok CSRF (Cross-Site Request Forgery) (CWE-352) |
Eskalace oprávnění | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Nesprávná autorizace (CWE-863) | Nahodilé čtení souborového systému | Kritická | Ano | Ano | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Skriptování mezi weby (uložený XSS) (CWE-79) |
Eskalace oprávnění | Kritická | Ano | Ano | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Souběh typu TOCTOU (Time-of-check Time-of-use) (CWE-367) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ne | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22) | Obcházení bezpečnostních funkcí | Důležitá | Ano | Ano | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Kieran (kaiksi) – CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie – CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
