Bulletin-ID
Senast uppdaterad den
23 okt. 2025
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB25-94
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB25-94 |
14 oktober 2025 |
2 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Denna uppdatering åtgärdar kritiska och viktiga säkerhetsluckor. Framgångsrikt utnyttjande kan leda till kringgående av säkerhetsfunktioner, utökade behörigheter och körning av godtycklig kod.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Prioritetsklassificering | Plattform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 och tidigare 2.4.8-p2 och tidigare 2.4.7-p7 och tidigare 2.4.6-p12 och tidigare 2.4.5-p14 och tidigare 2.4.4-p15 och tidigare |
2 | Alla |
| Adobe Commerce B2B |
1.5.3-alpha2 och tidigare 1.5.2-p2 och tidigare 1.4.2-p7 och tidigare 1.3.5-p12 och tidigare 1.3.4-p14 och tidigare 1.3.3-p15 och tidigare |
2 | Alla |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 och tidigare 2.4.7-p7 och tidigare 2.4.6-p12 och tidigare |
2 | Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha3 för 2.4.9-alpha2 2.4.8-p3 för 2.4.8-p2 och tidigare 2.4.7-p8 för 2.4.7-p7 och tidigare 2.4.6-p13 för 2.4.6-p12 och tidigare 2.4.5-p15 för 2.4.5-p14 och tidigare 2.4.4 p16 för 2.4.4-p15 och tidigare |
Alla | 2 | Versionsinformation 2.4.x |
| Adobe Commerce B2B | 1.5.3-alpha3 för 1.5.3-alpha2 1.5.2-p3 för 1.5.2-p2 och tidigare 1.4.2-p8 för 1.4.2-p7 och tidigare 1.3.4-p15 för 1.3.4-p14 och tidigare 1.3.3-p14 för 1.3.3-p13 och tidigare 1.3.3-p16 för 1.3.3-p15 och tidigare |
Alla | 2 | |
| Magento Open Source | 2.4.9-alpha3 för 2.4.9-alpha2 2.4.8-p3 för 2.4.8-p2 och tidigare 2.4.7-p8 för 2.4.7-p7 och tidigare 2.4.6-p13 för 2.4.6-p12 och tidigare |
Alla | 2 |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Eskalering av behörighet | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktigt | Nej | Nej | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Ja | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Felaktig auktorisering (CWE-863) | Eskalering av behörighet | Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Akash Hamal (akashhamal0x01) – CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli – CVE-2025-54264
- Oleksii Suchalkin (schemonah) – CVE-2025-54266
Obs! Adobe har ett offentligt program ihop med HackerOne för att hitta fel. Om du är intresserad av att arbeta med Adobe som extern säkerhetsforskare kan du läsa mer på https://hackerone.com/adobe.
Revisioner
15 oktober 2025 -- CVE-2025-54263: Korrigerad sårbarhetskategori, CVSS-vektor och CVSS-baspoäng.
16 oktober 2025 -- Korrigerad lösningsversion 1.3.4-p15 för 1.3.4-p14 och tidigare för adobe commerce B2B; Borttagen 2.4.5 från påverkade och lösningsversioner för Magento Open Source.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
