Bulletin-ID
Sist oppdatert
16. sep. 2025
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB25-88
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB25-88 |
9. september 2025 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser en kritisk sårbarhet. Vellykket utnyttelse kan føre til omgåelse av sikkerhetsfunksjoner.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Prioritetsklassifisering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere 2.4.4-p15 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha2 og tidligere 1.5.2-p2 og tidligere 1.4.2-p7 og tidligere 1.3.4-p14 og tidligere 1.3.3-p15 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce og Magento Open Source | Hurtigretting for CVE-2025-54236
Kompatibel med alle Adobe Commerce- og Magento Open Source-versjoner mellom 2.4.4 og 2.4.7 |
Alle | 2 | Utgivelsesmerknader for hurtigretting av CVE-2025-54236
|
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Feil inndatavalidering (CWE-20) | Omgåelse av sikkerhetsfunksjon | Kritisk | No | No | 9.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54236 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- blaklis -- CVE-2025-54236
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du se https://hackerone.com/adobe.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
