ID bulletinu
Naposledy aktualizováno
23. 10. 2025
Bezpečnostní aktualizace dostupná pro Adobe Commerce | APSB25-94
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB25-94 |
14. října 2025 |
2 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro software Adobe Commerce a Magento Open Source. Tato aktualizace řeší kritické a důležité zranitelnosti. Úspěšné zneužití může vést k obejití bezpečnostních funkcí, eskalaci oprávnění a spuštění libovolného kódu.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze
| Produkt | Verze | Úroveň priority | Platforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 a starší 2.4.8-p2 a starší 2.4.7-p7 a starší 2.4.6-p12 a starší 2.4.5-p14 a starší 2.4.4-p15 a starší |
2 | Vše |
| Adobe Commerce B2B |
1.5.3-alpha2 a starší 1.5.2-p2 a starší 1.4.2-p7 a starší 1.3.5-p12 a starší 1.3.4-p14 a starší 1.3.3-p15 a starší |
2 | Vše |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 a starší 2.4.7-p7 a starší 2.4.6-p12 a starší |
2 | Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
| Produkt | Aktualizovaná verze | Platforma | Úroveň priority | Pokyny pro instalaci |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 pro 2.4.9-alpha2 2.4.8-p3 pro 2.4.8-p2 a starší 2.4.7-p8 pro 2.4.7-p7 a starší 2.4.6-p13 pro 2.4.6-p12 a starší 2.4.5-p15 pro 2.4.5-p14 a starší 2.4.4 p16 pro 2.4.4-p15 a starší |
Vše | 2 | Poznámky k verzi 2.4.x |
| Adobe Commerce B2B | 1.5.3-alpha3 pro 1.5.3-alpha2 1.5.2-p3 pro 1.5.2-p2 a starší 1.4.2-p8 pro 1.4.2-p7 a starší 1.3.4-p15 pro 1.3.4-p14 a starší 1.3.3-p14 pro 1.3.3-p13 a starší 1.3.3-p16 pro 1.3.3-p15 a starší |
Vše | 2 | |
| Magento Open Source | 2.4.9-alpha3 pro 2.4.9-alpha2 2.4.8-p3 pro 2.4.8-p2 a starší 2.4.7-p8 pro 2.4.7-p7 a starší 2.4.6-p13 pro 2.4.6-p12 a starší |
Vše | 2 |
Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení | Dopad chyby zabezpečení | Závažnost | Je ke zneužití vyžadováno ověření? | Je ke zneužití nutné mít oprávnění správce? |
Základní hodnocení CVSS |
Vektor CVSS |
Čísla CVE | Poznámky |
|---|---|---|---|---|---|---|---|---|
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Eskalace oprávnění | Kritická | Ano | Ano | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Nesprávná autorizace (CWE-863) | Obcházení bezpečnostních funkcí | Důležitá | Ne | Ne | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | Ano | Ano | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Nesprávná autorizace (CWE-863) | Eskalace oprávnění | Důležitá | Ano | Ano | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Poznámka:
Ke zneužití je vyžadováno ověření: Tuto chybu může (nebo nemůže) zneužít útočník bez přihlašovacích údajů.
Vyžaduje oprávnění správce: Tuto chybu může (nebo nemůže) zneužít pouze útočník s oprávněním správce.
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- Akash Hamal (akashhamal0x01) – CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli – CVE-2025-54264
- Oleksii Suchalkin (schemonah) – CVE-2025-54266
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Revize
15. října 2025 -- CVE-2025-54263: Opravena kategorie zranitelnosti, vektor CVSS a základní skóre CVSS.
16. října 2025 -- Opravena verze řešení 1.3.4-p15 pro 1.3.4-p14 a starší pro adobe commerce B2B; Odstraněna verze 2.4.5 z dotčených verzí a verzí řešení pro Magento Open Source.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
