Bulletin-ID
Sidst opdateret den
27. okt. 2025
Tilgængelige sikkerhedsopdateringer til Adobe Commerce | APSB25-94
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB25-94 |
14. oktober 2025 |
2 |
Resumé
Adobe har frigivet en sikkerhedsopdatering til Adobe Commerce og Magento Open Source. Denne opdatering løser kritiske og vigtige sikkerhedsproblemer. Udnyttelse af disse sikkerhedsproblemer kan medføre omgåelse af sikkerhedsfunktioner, eskalering af rettigheder og eksekvering af vilkårlig kode.
Adobe er ikke bekendt med, at der skulle være exploits i omløb for nogen af de problemer, der behandles i disse opdateringer.
Berørte versioner
| Produkt | Version | Prioritetsgrad | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere 2.4.4-p15 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha2 og tidligere 1.5.2-p2 og tidligere 1.4.2-p7 og tidligere 1.3.5-p12 og tidligere 1.3.4-p14 og tidligere 1.3.3-p15 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
| Produkt | Opdateret version | Platform | Prioritetsgrad | Installationsvejledning |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 til 2.4.9-alpha2 2.4.8-p3 til 2.4.8-p2 og tidligere 2.4.7-p8 til 2.4.7-p7 og tidligere 2.4.6-p13 til 2.4.6-p12 og tidligere 2.4.5-p15 til 2.4.5-p14 og tidligere 2.4.4 p16 til 2.4.4-p15 og tidligere |
Alle | 2 | 2.4.x Produktbemærkninger |
| Adobe Commerce B2B | 1.5.3-alpha3 til 1.5.3-alpha2 1.5.2-p3 til 1.5.2-p2 og tidligere 1.4.2-p8 til 1.4.2-p7 og tidligere 1.3.4-p15 til 1.3.4-p14 og tidligere 1.3.3-p14 til 1.3.3-p13 og tidligere 1.3.3-p16 til 1.3.3-p15 og tidligere |
Alle | 2 | |
| Magento Open Source | 2.4.9-alpha3 til 2.4.9-alpha2 2.4.8-p3 til 2.4.8-p2 og tidligere 2.4.7-p8 til 2.4.7-p7 og tidligere 2.4.6-p13 til 2.4.6-p12 og tidligere |
Alle | 2 |
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installationer til de nyeste versioner.
Sikkerhedsoplysninger
| Sikkerhedskategori | Virkning af sikkerhedsproblem | Alvorlighed | Kræver det autentifikation at udnytte sikkerhedshullet? | Kræver det administratorrettigheder at udnytte sikkerhedshullet? |
CVSS-basisscore |
CVSS-vektor |
CVE-nummer/numre | Noter |
|---|---|---|---|---|---|---|---|---|
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Eskalering af rettigheder | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Ukorrekt autorisation (CWE-863) | Sikkerhedsomgåelse | Vigtig | Nej | Nej | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Cross-site scripting (lagret XSS) (CWE-79) | Vilkårlig kodekørsel | Vigtig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Ukorrekt autorisation (CWE-863) | Eskalering af rettigheder | Vigtigt | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Bemærk:
Autentifikation er påkrævet for at udnytte: Sårbarheden kan (eller kan ikke) udnyttes uden legitimationsoplysninger.
Kræver administratorrettigheder: Sårbarheden kan (eller kan ikke) kun udnyttes, hvis angriberen har administratorrettigheder.
Tak til følgende personer
Adobe vil gerne takke følgende researchere at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
BEMÆRK: Adobe og HackerOne har indgået et samarbejde til rapportering af programfejl. Hvis du er interesseret i at arbejde for Adobe som ekstern sikkerhedsforsker, skal du gå til: https://hackerone.com/adobe.
Ændringer
15. oktober 2025 -- CVE-2025-54263: Korrigeret sårbarhedskategori, CVSS-vektor og CVSS-basisscore.
16. oktober 2025 -- Korrigeret løsningsversion 1.3.4-p15 til 1.3.4-p14 og tidligere for Adobe Commerce B2B, version 2.4.5 fjernet fra berørte versioner og løsningsversioner for Magento Open Source.
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
