Tiedotteen tunnus
Päivitetty viimeksi
27. lokakuuta 2025
Adobe Commercen tietoturvapäivitys | APSB25-94
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-94 |
14.10.2025 |
2 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys korjaa kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa tietoturvaominaisuuksien ohittamiseen, käyttöoikeuksien laajennukseen ja mielivaltaisen koodin suorittamiseen.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
| Tuote | Versio | Prioriteettiluokitus | Ympäristö |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 ja aiemmat versiot 2.4.8-p2 ja aiemmat versiot 2.4.7-p7 ja aiemmat versiot 2.4.6-p12 ja aiemmat versiot 2.4.5-p14 ja aiemmat versiot 2.4.4-p15 ja aiemmat versiot |
2 | Kaikki |
| Adobe Commerce B2B |
1.5.3-alpha2 ja aiemmat versiot 1.5.2-p2 ja aiemmat versiot 1.4.2-p7 ja aiemmat versiot 1.3.5-p12 ja aiemmat versiot 1.3.4-p14 ja aiemmat versiot 1.3.3-p15 ja aiemmat versiot |
2 | Kaikki |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 ja aiemmat versiot 2.4.7-p7 ja aiemmat versiot 2.4.6-p12 ja aiemmat versiot |
2 | Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
| Tuote | Päivitetty versio | Ympäristö | Prioriteettiluokitus | Asennusohjeet |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 2.4.9-alpha2:lle 2.4.8-p3 2.4.8-p2:lle ja aiemmille versioille 2.4.7-p8 2.4.7-p7:lle ja aiemmille versioille 2.4.6-p13 2.4.6-p12:lle ja aiemmille versioille 2.4.5-p15 2.4.5-p14:lle ja aiemmille versioille 2.4.4 p16 2.4.4-p15:lle ja aiemmille versioille |
Kaikki | 2 | Version 2.4.x julkaisutiedot |
| Adobe Commerce B2B | 1.5.3-alpha3 1.5.3-alpha2:lle 1.5.2-p3 1.5.2-p2:lle ja aiemmille versioille 1.4.2-p8 1.4.2-p7:lle ja aiemmille versioille 1.3.4-p15 1.3.4-p14:lle ja aiemmille versioille 1.3.3-p14 1.3.3-p13:lle ja aikaisemmille versioille 1.3.3-p16 1.3.3-p15:lle ja aiemmille versioille |
Kaikki | 2 | |
| Magento Open Source | 2.4.9-alpha3 2.4.9-alpha2:lle 2.4.8-p3 2.4.8-p2:lle ja aiemmille versioille 2.4.7-p8 2.4.7-p7:lle ja aiemmille versioille 2.4.6-p13 2.4.6-p12:lle ja aiemmille versioille |
Kaikki | 2 |
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.
Lisätietoja haavoittuvuuksista
| Haavoittuvuusluokka | Haavoittuvuuden vaikutus | Vakavuus | Vaatiiko hyödyntäminen tunnistautumista? | Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia? |
CVSS-peruspisteet |
CVSS-vektori |
CVE-numerot | Huomautukset |
|---|---|---|---|---|---|---|---|---|
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Käyttöoikeuksien laajennus | Kriittinen | Kyllä | Kyllä | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Virheellinen valtuutus (CWE-863) | Tietoturvaominaisuuden ohitus | Tärkeä | Ei | Ei | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) | Mielivaltaisen koodin suoritus | Tärkeä | Kyllä | Kyllä | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Virheellinen valtuutus (CWE-863) | Käyttöoikeuksien laajennus | Tärkeä | Kyllä | Kyllä | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Huomautus:
Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.
Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
Versiot
15. lokakuuta 2025 -- CVE-2025-54263: Korjattu haavoittuvuusluokka, CVSS-vektori ja CVSS-peruspistemäärä.
16. lokakuuta 2025 -- Korjattu ratkaisuversio 1.3.4-p15 Adobe Commerce B2B:n 1.3.4-p14:lle ja aiemmille versiolle; Poistettu versio 2.4.5 Magento Open Source -ohjelmiston vaikutuksen alaisista ja ratkaisuversioista.
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html, tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
