Tiedotteen tunnus
Päivitetty viimeksi
20. helmikuuta 2025
Adobe Commercen tietoturvapäivitys | APSB25-08
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-08 |
11. helmikuuta 2025 |
1 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen, tietoturvaominaisuuksien ohittamiseen ja käyttöoikeuksien laajennukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 ja aiemmat versiot 2.4.6-p8 ja aiemmat versiot 2.4.5-p10 ja aiemmat versiot 2.4.4-p11 ja aiemmat versiot |
Kaikki |
| Adobe Commerce B2B |
1.5.0 ja aiemmat versiot 1.4.2-p3 ja aiemmat versiot |
Kaikki |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 ja aiemmat versiot 2.4.6-p8 ja aiemmat versiot 2.4.5-p10 ja aiemmat versiot 2.4.4-p11 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.8-beta1:lle |
Kaikki |
2 |
|
| Adobe Commerce B2B |
1.5.1 ja aiemmat versiot 1.4.2-p4 1.4.2-p3:lle ja aiemmille versioille |
Kaikki | 2 | |
| Magento Open Source |
2.4.8-beta2 2.4.8-beta1:lle |
Kaikki |
2 | |
| Adobe Commerce ja Magento Open Source | Erillinen korjaus haavoittuvuudelle CVE-2025-24434 | Kaikki | 1 | Haavoittuvuuden CVE-2025-24434 erillisen korjauksen julkaisutiedot |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Polun nimen virheellinen rajoittaminen kiellettyyn hakemistoon (”Polun vaihtuminen”) (CWE-22) | Käyttöoikeuksien laajennus | Kriittinen |
Kyllä | Kyllä | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Koskee vain B2B-versiota |
| Tietojen paljastuminen (CWE-200) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Virheellinen valtuutus (CWE-285) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Ei | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Virheellinen valtuutus (CWE-285) | Käyttöoikeuksien laajennus | Kriittinen | Ei | Ei | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Kyllä | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Kriittinen | Kyllä | Kyllä | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Koskee vain B2B-versiota |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Ei | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Ei | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Koskee vain B2B-versiota |
| Liiketoimintalogiikkavirheet (CWE-840) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Ei | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Koskee vain B2B-versiota |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Ei | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Sopimaton käyttöoikeuksien valvonta (CWE-284) | Tietoturvaominaisuuden ohitus | Kohtalainen | Kyllä | Kyllä | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) | Tietoturvaominaisuuden ohitus | Kohtalainen | Ei | Ei | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Tarkistusajasta käyttöaikaan (TOCTOU) -kilpailuehto (CWE-367) | Tietoturvaominaisuuden ohitus | Kohtalainen | Ei | Ei | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
