ID do boletim
Última atualização em
20 de fev de 2025
Atualização de segurança disponível para o Adobe Commerce | APSB25-08
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB25-08 |
11 de fevereiro de 2025 |
1 |
Resumo
A Adobe lançou atualizações de segurança para o Adobe Commerce e o Magento Open Source. Essa atualização resolve as vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida poderia levar a uma execução de código arbitrário, falha de memória, negligência do recurso de segurança e escalonamento de privilégios.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 e versões anteriores 2.4.6-p8 e versões anteriores 2.4.5-p10 e versões anteriores 2.4.4-p11 e versões anteriores |
Todos |
| Adobe Commerce B2B |
1.5.0 e anteriores 1.4.2-p3 e versões anteriores |
Todos |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 e versões anteriores 2.4.6-p8 e versões anteriores 2.4.5-p10 e versões anteriores 2.4.4-p11 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Instruções de instalação |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 para 2.4.8-beta1 |
Todos |
2 |
|
| Adobe Commerce B2B |
1.5.1 e anteriores 1.4.2-p4 para 1.4.2-p3 e versões anteriores |
Todos | 2 | |
| Magento Open Source |
2.4.8-beta2 para 2.4.8-beta1 |
Todos |
2 | |
| Adobe Commerce e Magento Open Source | Correção isolada para CVE-2025-24434 | Todos | 1 | Notas de versão para a correção isolada do CVE-2025-24434 |
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Autenticação necessária para explorar? | A exploração requer privilégios administrativos? |
Pontuação base de CVSS |
Vetor CVSS |
Número(s) CVE | Observações |
|---|---|---|---|---|---|---|---|---|
| Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) | Escalonamento de privilégio | Crítico |
Sim | Sim | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Crítico | Sim | Não | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Aplica-se somente à edição B2B |
| Exposição de Informações (CWE-200) | Escalonamento de privilégio | Crítico | Sim | Sim | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Autorização inadequada (CWE-285) | Falha de recurso de segurança | Crítico | Sim | Não | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Autorização inadequada (CWE-285) | Escalonamento de privilégio | Crítico | Não | Não | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Crítico | Sim | Sim | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Crítico | Sim | Sim | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Violação de princípios de design seguro (CWE-657) | Escalonamento de privilégio | Importante | Sim | Não | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Aplica-se somente à edição B2B |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Importante | Sim | Não | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Aplica-se somente à edição B2B |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Importante | Sim | Não | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Aplica-se somente à edição B2B |
| Autorização incorreta (CWE-863) | Falha de recurso de segurança | Importante | Sim | Sim | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Não | Não | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Aplica-se somente à edição B2B |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégio | Importante | Sim | Não | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Aplica-se somente à edição B2B |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégio | Importante | Sim | Sim | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégio | Importante | Sim | Sim | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Controle de acesso impróprio (CWE-284) | Escalonamento de privilégio | Importante | Sim | Sim | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Não | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Aplica-se somente à edição B2B |
| Erros de lógica comercial (CWE-840) | Falha de recurso de segurança | Importante | Sim | Não | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Não | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Aplica-se somente à edição B2B |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | Sim | Sim | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Criação de script entre sites (XSS armazenado) (CWE-79) | Execução de código arbitrária | Importante | Sim | Não | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Moderado | Sim | Sim | 3,5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Condição de corrida de tempo de verificação/tempo de uso (Time-of-check Time-of-use, TOCTOU) (CWE-367) | Falha de recurso de segurança | Moderado | Não | Não | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Condição de corrida de tempo de verificação/tempo de uso (Time-of-check Time-of-use, TOCTOU) (CWE-367) | Falha de recurso de segurança | Moderado | Não | Não | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Observação:
Autenticação necessária para explorar: a vulnerabilidade é (ou não é) explorável sem credenciais.
A exploração requer privilégios administrativos: a vulnerabilidade é (ou não é) apenas explorável por um invasor com privilégios administrativos.
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por relatarem esses problemas e trabalharem com a Adobe para ajudar a proteger nossos clientes:
- Akash Hamal (akashhamal0x01) - CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie - CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche - CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio - CVE-2025-24407
- g0ndaar - CVE-2025-24430
- sheikhrishad0 - CVE-2025-24432
Icare - CVE-2025-24406
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
