ID bollettino
Ultimo aggiornamento il
20 feb 2025
Aggiornamento di sicurezza disponibile per Adobe Commerce | APSB25-08
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB25-08 |
11 febbraio 2025 |
1 |
Riepilogo
Adobe ha rilasciato un aggiornamento della sicurezza per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Lo sfruttamento efficace potrebbe portare a esecuzione di codice arbitrario, aggiramento delle funzioni di sicurezza ed escalation dei privilegi.
Adobe non è a conoscenza di exploit delle vulnerabilità oggetto di questi aggiornamenti.
Versioni interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 e versioni precedenti 2.4.6-p8 e precedenti 2.4.5-p10 e versioni precedenti 2.4.4-p11 e versioni precedenti |
Tutte |
| Adobe Commerce B2B |
1.5.0 e precedenti 1.4.2-p3 e versioni precedenti |
Tutte |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 e versioni precedenti 2.4.6-p8 e precedenti 2.4.5-p10 e versioni precedenti 2.4.4-p11 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
| Prodotto | Versione aggiornata | Piattaforma | Livello di priorità | Istruzioni per l’installazione |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 per 2.4.8-beta1 |
Tutte |
2 |
|
| Adobe Commerce B2B |
1.5.1 e versioni precedenti 1.4.2-p4 per 1.4.2-p3 e versioni precedenti |
Tutte | 2 | |
| Magento Open Source |
2.4.8-beta2 per 2.4.8-beta1 |
Tutte |
2 | |
| Adobe Commerce e Magento Open Source | Patch isolata per CVE-2025-24434 | Tutte | 1 | Note sulla versione per la patch isolata CVE-2025-24434 |
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
Dettagli della vulnerabilità
| Categoria della vulnerabilità | Impatto della vulnerabilità | Gravità | Autenticazione obbligatoria per l'utilizzo? | L'utilizzo richiede i privilegi di amministratore? |
Punteggio base CVSS |
Vettore CVSS |
Codice/i CVE | Note |
|---|---|---|---|---|---|---|---|---|
| Limitazione non corretta di un percorso a una directory con restrizioni ("Path Traversal") (CWE-22) | Acquisizione illecita di privilegi | Critico |
Sì | Sì | 7,5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Critica | Sì | No | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Si applica solo alla B2B Edition |
| Esposizione delle informazioni (CWE-200) | Acquisizione illecita di privilegi | Critica | Sì | Sì | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Autorizzazione impropria (CWE-285) | Aggiramento della funzione di sicurezza | Critica | Sì | No | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Autorizzazione impropria (CWE-285) | Acquisizione illecita di privilegi | Critica | No | No | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Critica | Sì | Sì | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Critica | Sì | Sì | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Violazione dei principi di progettazione sicura (CWE-657) | Acquisizione illecita di privilegi | Importante | Sì | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Si applica solo alla B2B Edition |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Si applica solo alla B2B Edition |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Si applica solo alla B2B Edition |
| Autorizzazione errata (CWE-863) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | No | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Si applica solo alla B2B Edition |
| Controllo di accesso non corretto (CWE-284) | Acquisizione illecita di privilegi | Importante | Sì | No | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Si applica solo alla B2B Edition |
| Controllo di accesso non corretto (CWE-284) | Acquisizione illecita di privilegi | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Controllo di accesso non corretto (CWE-284) | Acquisizione illecita di privilegi | Importante | Sì | Sì | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Controllo di accesso non corretto (CWE-284) | Acquisizione illecita di privilegi | Importante | Sì | Sì | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Si applica solo alla B2B Edition |
| Errori di logica aziendale (CWE-840) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | Sì | No | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Si applica solo alla B2B Edition |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Importante | Sì | Sì | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Vulnerabilità cross-site scripting (memorizzate XSS) (CWE-79) | Esecuzione di codice arbitrario | Importante | Sì | No | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Controllo di accesso non corretto (CWE-284) | Aggiramento della funzione di sicurezza | Moderata | Sì | Sì | 3,5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Situazione di corsa Time-of-check Time-of-use (TOCTOU) (CWE-367) | Aggiramento della funzione di sicurezza | Moderata | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Situazione di corsa Time-of-check Time-of-use (TOCTOU) (CWE-367) | Aggiramento della funzione di sicurezza | Moderata | No | No | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Nota:
È richiesta l'autenticazione per l'utilizzo: la vulnerabilità è (o non è) sfruttabile senza credenziali.
L'utilizzo richiede privilegi di amministrazione: la vulnerabilità è (o non è) sfruttabile solo da un aggressore con privilegi di amministratore.
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per aver segnalato questi problemi contribuendo così a proteggere la sicurezza dei nostri clienti:
- Akash Hamal (akashhamal0x01) - CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie - CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche - CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio - CVE-2025-24407
- g0ndaar - CVE-2025-24430
- sheikhrishad0 - CVE-2025-24432
Icare - CVE-2025-24406
NOTA: Adobe dispone di un programma di bug bounty privato, solo su invito, con HackerOne. Se sei interessato a lavorare con Adobe come ricercatore di sicurezza esterno, compila questo modulo per le fasi successive.
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
