Bulletin-ID
Sidst opdateret den
18. sep. 2025
Tilgængelig sikkerhedsopdatering til Adobe Commerce | APSB25-88
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB25-88 |
9. september 2025 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser et kritisk sikkerhedsproblem. Udnyttelse af dette sikkerhedsproblem kan medføre omgåelse af sikkerhedsfunktioner.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Prioritetsgrad | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere 2.4.4-p15 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha2 og tidligere 1.5.2-p2 og tidligere 1.4.2-p7 og tidligere 1.3.4-p14 og tidligere 1.3.3-p15 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce og Magento Open Source | Hotfix til CVE-2025-54236
Kompatibel med alle Adobe Commerce- og Magento Open Source-versioner fra 2.4.4 til 2.4.7 |
Alle | 2 | Produktbemærkninger til hotfix på CVE-2025-54236
|
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Ukorrekt input-validering (CWE-20) | Sikkerhedsomgåelse | Kritisk | Nej | Nej | 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54236 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- blaklis -- CVE-2025-54236
BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde for Adobe som ekstern sikkerhedsforsker, skal du gå til: https://hackerone.com/adobe.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
