Bulletin-ID
Sidst opdateret den
20. feb. 2025
Sikkerhedsopdatering til Adobe Commerce | APSB25-08
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB25-08 |
11. februar 2025 |
1 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske, vigtige og moderate sikkerhedsproblemer. Udnyttelse af dette sikkerhedsproblem kan medføre eksekvering af vilkårlig kode, omgåelse af sikkerhedsfunktioner og eskalering af rettigheder.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 og tidligere 2.4.6-p8 og tidligere 2.4.5-p10 og tidligere 2.4.4-p11 og tidligere |
Alle |
| Adobe Commerce B2B |
1.5.0 og tidligere 1.4.2-p3 og tidligere |
Alle |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 og tidligere 2.4.6-p8 og tidligere 2.4.5-p10 og tidligere 2.4.4-p11 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 til 2.4.8-beta1 |
Alle |
2 |
|
| Adobe Commerce B2B |
1.5.1 og tidligere 1.4.2-p4 til 1.4.2-p3 og tidligere |
Alle | 2 | |
| Magento Open Source |
2.4.8-beta2 til 2.4.8-beta1 |
Alle |
2 | |
| Adobe Commerce og Magento Open Source | Specifik patch til CVE-2025-24434 | Alle | 1 | Produktbemærkninger til den specifikke patch til CVE-2025-24434 |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Ukorrekt begrænsning af et stinavn til et begrænset bibliotek ('stioverskridelse') (CWE-22) | Eskalering af rettigheder | Kritisk |
Ja | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Kritisk | Ja | Nej | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Gælder kun for B2B-udgaven |
| Afsløring af oplysninger (CWE-200) | Eskalering af rettigheder | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Ukorrekt autorisation (CWE-285) | Sikkerhedsomgåelse | Kritisk | Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Ukorrekt autorisation (CWE-285) | Eskalering af rettigheder | Kritisk | Nej | Nej | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Kritisk | Ja | Ja | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Overtrædelse af principperne for sikkert design (CWE-657) | Eskalering af rettigheder | Vigtig | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Gælder kun for B2B-udgaven |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Gælder kun for B2B-udgaven |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Gælder kun for B2B-udgaven |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Nej | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Gælder kun for B2B-udgaven |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtig | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Gælder kun for B2B-udgaven |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Ukorrekt adgangskontrol (CWE-284) | Eskalering af rettigheder | Vigtig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Gælder kun for B2B-udgaven |
| Business Logic-fejl (CWE-840) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Gælder kun for B2B-udgaven |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Vigtig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Nej | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Ukorrekt adgangskontrol (CWE-284) | Sikkerhedsomgåelse | Moderat | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| TOCTOU-betingelse (Time-of-check Time-of-use) ved kørsel (CWE-367) | Sikkerhedsomgåelse | Moderat | Nej | Nej | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| TOCTOU-betingelse (Time-of-check Time-of-use) ved kørsel (CWE-367) | Sikkerhedsomgåelse | Moderat | Nej | Nej | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
