Tiedotteen tunnus
Päivitetty viimeksi
18. syyskuuta 2025
Adobe Commercen tietoturvapäivitys | APSB25-88
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-88 |
9. syyskuuta 2025 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee kriittisen haavoittuvuuden. Jos haavoittuvuutta onnistuttaisiin hyödyntämään, se voisi johtaa tietoturvaominaisuuden ohitukseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Prioriteettiluokitus | Ympäristö |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 ja aiemmat versiot 2.4.8-p2 ja aiemmat versiot 2.4.7-p7 ja aiemmat versiot 2.4.6-p12 ja aiemmat versiot 2.4.5-p14 ja aiemmat versiot 2.4.4-p15 ja aiemmat versiot |
2 | Kaikki |
| Adobe Commerce B2B |
1.5.3-alpha2 ja aiemmat versiot 1.5.2-p2 ja aiemmat versiot 1.4.2-p7 ja aiemmat versiot 1.3.4-p14 ja aiemmat versiot 1.3.3-p15 ja aiemmat versiot |
2 | Kaikki |
| Magento Open Source | 2.4.9-alpha2 ja aiemmat versiot 2.4.8-p2 ja aiemmat versiot 2.4.7-p7 ja aiemmat versiot 2.4.6-p12 ja aiemmat versiot 2.4.5-p14 ja aiemmat versiot |
2 | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce ja Magento Open Source | CVE-2025-54236:n korjaustiedosto
Yhteensopiva kaikkien Adobe Commercen ja Magento Open Sourcen versioiden kanssa välillä 2.4.4–2.4.7 |
Kaikki | 2 | CVE-2025-54236:n korjaustiedoston julkaisutiedot
|
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Virheellinen syötteen tarkistus (CWE-20) | Tietoturvaominaisuuden ohitus | Kriittinen | Ei | Ei | 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54236 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- blaklis -- CVE-2025-54236
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
