Bulletin-ID
Zuletzt aktualisiert am
20. Februar 2025
Sicherheitsupdate für Adobe Commerce verfügbar | APSB25-08
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB25-08 |
11. Februar 2025 |
1 |
Zusammenfassung
Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht. Dieses Update behebt mehrere kritische, wichtige und moderate Sicherheitslücken. Ein erfolgreiches Ausnutzen könnte zu willkürlicher Codeausführung, zur Umgehung von Sicherheitsfunktionen und zur Berechtigungsausweitung führen.
Adobe sind keine Fälle bekannt, in denen die in diesen Updates behobenen Sicherheitslücken ausgenutzt wurden.
Betroffene Versionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 und früher 2.4.6-p8 und früher 2.4.5-p10 und früher 2.4.4-p11 und früher |
Alle |
| Adobe Commerce B2B |
1.5.0 und früher 1.4.2-p3 und früher |
Alle |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 und früher 2.4.6-p8 und früher 2.4.5-p10 und früher 2.4.4-p11 und früher |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
| Produkt | Aktualisierte Version | Plattform | Priorität | Installationsanweisungen |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 für 2.4.8-beta1 |
Alle |
2 |
|
| Adobe Commerce B2B |
1.5.1 und früher 1.4.2-p4 für 1.4.2-p3 und früher |
Alle | 2 | |
| Magento Open Source |
2.4.8-beta2 für 2.4.8-beta1 |
Alle |
2 | |
| Adobe Commerce und Magento Open Source | Isolierter Patch für CVE-2025-24434 | Alle | 1 | Versionshinweise für isolierten Patch auf CVE-2025-24434 |
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Prioritäten dieser Updates wie folgt ein.
Sicherheitslückendetails
| Sicherheitslückenkategorie | Sicherheitslückenauswirkung | Problemstufe | Exploit erfordert Authentifizierung? | Exploit erfordert Admin-Rechte? |
CVSS-Basispunktzahl |
CVSS-Vektor |
CVE-Nummern(n) | Anmerkungen |
|---|---|---|---|---|---|---|---|---|
| Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) | Berechtigungsausweitung | Kritisch |
Ja | Ja | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Nein | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Gilt nur für B2B-Edition |
| Informationsexposition (CWE-200) | Berechtigungsausweitung | Kritisch | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Unzulässige Autorisierung (CWE-285) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Nein | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Unzulässige Autorisierung (CWE-285) | Berechtigungsausweitung | Kritisch | Nein | Nein | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Kritisch | Ja | Ja | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Kritisch | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Verletzung sicherer Designgrundsätze (CWE-657) | Berechtigungsausweitung | Wichtig | Ja | Nein | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Gilt nur für B2B-Edition |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Gilt nur für B2B-Edition |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Gilt nur für B2B-Edition |
| Falsche Autorisierung (CWE-863) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Wichtig | Nein | Nein | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Gilt nur für B2B-Edition |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Nein | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Gilt nur für B2B-Edition |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Berechtigungsausweitung | Wichtig | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Gilt nur für B2B-Edition |
| Business-Logikfehler (CWE-840) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Nein | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Gilt nur für B2B-Edition |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Wichtig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Cross-Site-Scripting (beständiges XSS) (CWE-79) | Willkürliche Ausführung von Code | Wichtig | Ja | Nein | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Unzulässige Zugriffskontrolle (CWE-284) | Umgehung der Sicherheitsfunktionen | Mittel | Ja | Ja | 3,5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Time-of-check Time-of-use (TOCTOU) Wettlaufsituation (CWE-367) | Umgehung der Sicherheitsfunktionen | Mittel | Nein | Nein | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Time-of-check Time-of-use (TOCTOU) Wettlaufsituation (CWE-367) | Umgehung der Sicherheitsfunktionen | Mittel | Nein | Nein | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Hinweis:
Zum Ausnutzen ist eine Authentifizierung erforderlich: Die Schwachstelle kann ohne Anmeldeinformationen ausgenutzt werden (bzw. nicht ausgenutzt werden).
Erfordert Administratorrechte: Die Schwachstelle ist (oder ist nicht) nur von einem Angreifer mit Administratorrechten ausnutzbar.
Danksagung
Adobe bedankt sich bei den folgenden Forschern, die diese Probleme gemeldet haben und mit Adobe zusammenarbeiten, um unsere Kunden zu schützen:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Weitere Informationen gibt es unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
