Идентификатор бюллетеня
Последнее обновление
20 февр. 2025 г.
Обновление безопасности для Adobe Commerce | APSB25-08
|
|
Дата публикации |
Приоритет |
|---|---|---|
|
APSB25-08 |
11 февраля 2025 г. |
1 |
Сводка
Компания Adobe выпустила обновление системы безопасности для Adobe Commerce и Magento Open Source. В этом обновлении устранены критические, важные и средние уязвимости. Эксплуатация уязвимости может привести к выполнению произвольного кода, обходу функции безопасности и повышению уровня полномочий.
Adobe не имеет информации о свободном характере использования этих проблем в данных обновлениях.
Затронутые версии
| Продукт | Версия | Платформа |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 и более ранние версии 2.4.6-p8 и ранее 2.4.5-p10 и более ранние версии 2.4.4-p11 и более ранние версии |
Все |
| Adobe Commerce B2B |
1.5.0 и более ранние версии 1.4.2-p3 и более ранние версии |
Все |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 и более ранние версии 2.4.6-p8 и ранее 2.4.5-p10 и более ранние версии 2.4.4-p11 и более ранние версии |
Все |
Решение
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
| Продукт | Обновленная версия | Платформа | Рейтинг приоритета | Инструкции по установке |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 для 2.4.8-beta1 |
Все |
2 |
|
| Adobe Commerce B2B |
1.5.1 и более ранние версии 1.4.2-p4 для 1.4.2-p3 более ранних версий |
Все | 2 | |
| Magento Open Source |
2.4.8-beta2 для 2.4.8-beta1 |
Все |
2 | |
| Adobe Commerce и Magento Open Source | Изолированное исправление для CVE-2025-24434 | Все | 1 | Сведения о выпуске для изолированного исправления CVE-2025-24434 |
Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.
Сведения об уязвимости
| Категория уязвимости | Влияние уязвимости | Серьезность | Требуется ли аутентификация для использования? | Для использования нужны права администратора? |
Базовая оценка CVSS |
Вектор CVSS |
Номера CVE | Заметки |
|---|---|---|---|---|---|---|---|---|
| Выход за пределы назначенного каталога ("обход каталога") (CWE-22) | Повышение уровня полномочий | Критическая |
Да | Да | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Некорректная авторизация (CWE-863) | Обход функции безопасности | Критическая | Да | Нет | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Применимо только к выпуску B2B |
| Раскрытие информации (CWE-200) | Повышение уровня полномочий | Критическая | Да | Да | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Неправильная авторизация (CWE-285) | Обход функции безопасности | Критическая | Да | Нет | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Неправильная авторизация (CWE-285) | Повышение уровня полномочий | Критическая | Нет | Нет | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Критическая | Да | Да | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Критическая | Да | Да | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Нарушение принципов безопасного проектирования (CWE-657) | Повышение уровня полномочий | Важная | Да | Нет | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Применимо только к выпуску B2B |
| Некорректная авторизация (CWE-863) | Обход функции безопасности | Важная | Да | Нет | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Применимо только к выпуску B2B |
| Некорректная авторизация (CWE-863) | Обход функции безопасности | Важная | Да | Нет | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Применимо только к выпуску B2B |
| Некорректная авторизация (CWE-863) | Обход функции безопасности | Важная | Да | Да | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Важная | Нет | Нет | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Применимо только к выпуску B2B |
| Неправильный контроль доступа (CWE-284) | Повышение уровня полномочий | Важная | Да | Нет | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Применимо только к выпуску B2B |
| Неправильный контроль доступа (CWE-284) | Повышение уровня полномочий | Важная | Да | Да | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Неправильный контроль доступа (CWE-284) | Повышение уровня полномочий | Важная | Да | Да | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Неправильный контроль доступа (CWE-284) | Повышение уровня полномочий | Важная | Да | Да | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Важная | Да | Нет | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Применимо только к выпуску B2B |
| Ошибки бизнес-логики (CWE-840) | Обход функции безопасности | Важная | Да | Нет | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Важная | Да | Нет | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Применимо только к выпуску B2B |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Важная | Да | Да | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Межсайтовый скриптинг (сохраненный) (CWE-79) | Выполнение произвольного кода | Важная | Да | Нет | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Неправильный контроль доступа (CWE-284) | Обход функции безопасности | Средняя | Да | Да | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Время проверки, время использования (TOCTOU), состояние гонки (CWE-367) | Обход функции безопасности | Средняя | Нет | Нет | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Время проверки, время использования (TOCTOU), состояние гонки (CWE-367) | Обход функции безопасности | Средняя | Нет | Нет | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Примечание.
Для использования требуется аутентификация: Уязвимость может (или не может) использоваться без учетных данных.
Для использования нужны права администратора: Уязвимость может (или не может) использоваться только злоумышленником с правами администратора.
Благодарности
Компания Adobe выражает благодарность следующим исследователям за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов:
- Акаш Хамал (akashhamal0x01): CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie: CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche: CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio: CVE-2025-24407
- g0ndaar: CVE-2025-24430
- sheikhrishad0: CVE-2025-24432
Icare: CVE-2025-24406
ПРИМЕЧАНИЕ. Adobe имеет частную, доступную только для приглашенных программу Bug bounty с HackerOne. Если вы заинтересованы в сотрудничестве с Adobe в качестве внешнего исследователя безопасности, заполните эту форму.
Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.
