Bulletin-ID
Sist oppdatert
20. feb. 2025
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB25-08
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB25-08 |
11. februar 2025 |
1 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske, viktige og moderate sikkerhetsproblemer. Vellykket utnyttelse kan føre til kjøring av vilkårlig kode, omgåelse av sikkerhetsfunksjoner og eskalering av rettigheter.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 og tidligere 2.4.6-p8 og tidligere 2.4.5-p10 og tidligere 2.4.4-p11 og tidligere |
Alle |
| Adobe Commerce B2B |
1.5.0 og tidligere 1.4.2-p3 og tidligere |
Alle |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 og tidligere 2.4.6-p8 og tidligere 2.4.5-p10 og tidligere 2.4.4-p11 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 for 2.4.8-beta1 |
Alle |
2 |
|
| Adobe Commerce B2B |
1.5.1 og tidligere 1.4.2-p4 for 1.4.2-p3 og tidligere |
Alle | 2 | |
| Magento Open Source |
2.4.8-beta2 for 2.4.8-beta1 |
Alle |
2 | |
| Adobe Commerce og Magento Open Source | Isolert oppdatering for CVE-2025-24434 | Alle | 1 | Utgivelsesmerknader for isolert oppdatering på CVE-2025-24434 |
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) | Rettighetsutvidelse | Kritisk |
Ja | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Kritisk | Ja | No | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Gjelder bare B2B-utgaven |
| Informasjonseksponering (CWE-200) | Rettighetsutvidelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Upassende autorisasjon (CWE-285) | Omgåelse av sikkerhetsfunksjon | Kritisk | Ja | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Upassende autorisasjon (CWE-285) | Rettighetsutvidelse | Kritisk | No | No | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Kritisk | Ja | Ja | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Brudd på sikre designprinsipper (CWE-657) | Rettighetsutvidelse | Viktig | Ja | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Gjelder bare B2B-utgaven |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Gjelder bare B2B-utgaven |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Gjelder bare B2B-utgaven |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | No | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Gjelder bare B2B-utgaven |
| Feil tilgangskontroll (CWE-284) | Rettighetsutvidelse | Viktig | Ja | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Gjelder bare B2B-utgaven |
| Feil tilgangskontroll (CWE-284) | Rettighetsutvidelse | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Feil tilgangskontroll (CWE-284) | Rettighetsutvidelse | Viktig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Feil tilgangskontroll (CWE-284) | Rettighetsutvidelse | Viktig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Gjelder bare B2B-utgaven |
| Forretningslogikkfeil (CWE-840) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Gjelder bare B2B-utgaven |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Viktig | Ja | No | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Feil tilgangskontroll (CWE-284) | Omgåelse av sikkerhetsfunksjon | Moderat | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Tid for kontroll av brukstid (TOCTOU) Race Condition (CWE-367) | Omgåelse av sikkerhetsfunksjon | Moderat | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Tid for kontroll av brukstid (TOCTOU) Race Condition (CWE-367) | Omgåelse av sikkerhetsfunksjon | Moderat | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
