Bulletin-ID
Sist oppdatert
23. okt. 2025
Sikkerhetsoppdatering tilgjengelig for Adobe Commerce | APSB25-94
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB25-94 |
14. oktober 2025 |
2 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Commerce og Magento Open Source. Denne oppdateringen løser kritiske og viktige sårbarheter. Vellykket utnyttelse kan føre til omgåelse av sikkerhetsfunksjoner, rettighetseskalering og vilkårlig kodekjøring.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Versjon | Prioritetsklassifisering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 og tidligere 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere 2.4.5-p14 og tidligere 2.4.4-p15 og tidligere |
2 | Alle |
| Adobe Commerce B2B |
1.5.3-alpha2 og tidligere 1.5.2-p2 og tidligere 1.4.2-p7 og tidligere 1.3.5-p12 og tidligere 1.3.4-p14 og tidligere 1.3.3-p15 og tidligere |
2 | Alle |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 og tidligere 2.4.7-p7 og tidligere 2.4.6-p12 og tidligere |
2 | Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
| Produkt | Oppdatert versjon | Plattform | Prioritetsklassifisering | Installasjonsinstruksjoner |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 for 2.4.9-alpha2 2.4.8-p3 for 2.4.8-p2 og tidligere 2.4.7-p8 for 2.4.7-p7 og tidligere 2.4.6-p13 for 2.4.6-p12 og tidligere 2.4.5-p15 for 2.4.5-p14 og tidligere 2.4.4 p16 for 2.4.4-p15 og tidligere |
Alle | 2 | 2.4.x utgivelsesmerknader |
| Adobe Commerce B2B | 1.5.3-alpha3 for 1.5.3-alpha2 1.5.2-p3 for 1.5.2-p2 og tidligere 1.4.2-p8 for 1.4.2-p7 og tidligere 1.3.4-p15 for 1.3.4-p14 og tidligere 1.3.3-p14 for 1.3.3-p13 og tidligere 1.3.3-p16 for 1.3.3-p15 og tidligere |
Alle | 2 | |
| Magento Open Source | 2.4.9-alpha3 for 2.4.9-alpha2 2.4.8-p3 for 2.4.8-p2 og tidligere 2.4.7-p8 for 2.4.7-p7 og tidligere 2.4.6-p13 for 2.4.6-p12 og tidligere |
Alle | 2 |
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | Er godkjenning nødvendig for å bruke produktet? | Krever bruk administratorrettigheter? |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer/-numre | Notater |
|---|---|---|---|---|---|---|---|---|
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Rettighetsutvidelse | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Feil autorisasjon (CWE-863) | Omgåelse av sikkerhetsfunksjon | Viktig | No | No | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) | Kjøring av vilkårlig kode | Viktig | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Feil autorisasjon (CWE-863) | Rettighetsutvidelse | Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Merk:
Autentisering kreves for utnyttelse: Sikkerhetsproblemet kan være mulig eller umulig å utnytte uten legitimasjon.
Utnyttelse krever administratorrettigheter: Sikkerhetsproblemet kan være mulig eller umulig å utnyttes av en angriper med administratorrettigheter.
Anerkjennelser
Adobe takker følgende forskere at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- Akash Hamal (akashhamal0x01) – CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli – CVE-2025-54264
- Oleksii Suchalkin (schemonah) – CVE-2025-54266
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du se https://hackerone.com/adobe.
Revisjoner
15. oktober 2025 -- CVE-2025-54263: Korrigert sårbarhets kategori, CVSS-vektor og CVSS-basescore.
16. oktober 2025 -- Korrigert løsningsversjon 1.3.4-p15 for 1.3.4-p14 og tidligere for adobe commerce B2B; Fjernet 2.4.5 fra berørte og løsningsversjoner for Magento Open Source.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
