ID bollettino
Ultimo aggiornamento il
23 ott 2025
Aggiornamento di sicurezza disponibile per adobe commerce | APSB25-94
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB25-94 |
14 ottobre 2025 |
2 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche e importanti. Lo sfruttamento riuscito potrebbe portare all'elusione delle funzionalità di sicurezza, all'escalation dei privilegi e all'esecuzione arbitraria di codice.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Livello di priorità | Piattaforma |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 e versioni precedenti 2.4.8-p2 e versioni precedenti 2.4.7-p7 e versioni precedenti 2.4.6-p12 e versioni precedenti 2.4.5-p14 e versioni precedenti 2.4.4-p15 e versioni precedenti |
2 | Tutte |
| Adobe Commerce B2B |
1.5.3-alpha2 e versioni precedenti 1.5.2-p2 e versioni precedenti 1.4.2-p7 e versioni precedenti 1.3.5-p12 e precedenti 1.3.4-p14 e versioni precedenti 1.3.3-p15 e versioni precedenti |
2 | Tutte |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 e versioni precedenti 2.4.7-p7 e versioni precedenti 2.4.6-p12 e versioni precedenti |
2 | Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 per 2.4.9-alpha2 2.4.8-p3 per 2.4.8-p2 e precedenti 2.4.7-p8 per 2.4.7-p7 e precedenti 2.4.6-p13 per 2.4.6-p12 e precedenti 2.4.5-p15 per 2.4.5-p14 e precedenti 2.4.4 p16 per 2.4.4-p15 e precedenti |
Tutte | 2 | Note sulla versione 2.4.x |
| Adobe Commerce B2B | 1.5.3-alpha3 per 1.5.3-alpha2 1.5.2-p3 per 1.5.2-p2 e precedenti 1.4.2-p8 per 1.4.2-p7 e precedenti 1.3.4-p15 per 1.3.4-p14 e versioni precedenti 1.3.3-p14 for 1.3.3-p13 e versioni precedenti 1.3.3-p16 per 1.3.3-p15 e precedenti |
Tutte | 2 | |
| Magento Open Source | 2.4.9-alpha3 per 2.4.9-alpha2 2.4.8-p3 per 2.4.8-p2 e precedenti 2.4.7-p8 per 2.4.7-p7 e precedenti 2.4.6-p13 per 2.4.6-p12 e precedenti |
Tutte | 2 |
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l’utilizzo? | L’utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Critica | Sì | Sì | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Acquisizione illecita di privilegi | Critica | Sì | Sì | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | No | No | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | Sì | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Autorizzazione errata (CWE-863) | Acquisizione illecita di privilegi | Importante | Sì | Sì | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Nota:
È richiesta l’autenticazione per l’utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L’utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe facendo ricerche sulla sicurezza dall’esterno, visita https://hackerone.com/adobe.
Revisioni
15 ottobre 2025 -- CVE-2025-54263: Corretta la categoria di vulnerabilità, il vettore CVSS e il punteggio base CVSS.
16 ottobre 2025 -- Corretta la versione della soluzione 1.3.4-p15 per 1.3.4-p14 e versioni precedenti per adobe commerce B2B; Rimossa la versione 2.4.5 dalle versioni interessate e dalle soluzioni per Magento Open Source.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un’e-mail a PSIRT@adobe.com.
