Bulletin-ID
Senast uppdaterad den
20 feb. 2025
Säkerhetsuppdatering tillgänglig för Adobe Commerce | APSB25-08
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB25-08 |
11 februari 2025 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar kritiska, viktiga och måttliga sårbarheter. Exploatering kan leda till exekvering av godtycklig kod, åsidosättning av säkerhetsfunktion och eskalering av behörighet.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 och tidigare 2.4.6-p8 och tidigare 2.4.5-p10 och tidigare 2.4.4-p11 och tidigare |
Alla |
| Adobe Commerce B2B |
1.5.0 och tidigare 1.4.2-p3 och tidigare |
Alla |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 och tidigare 2.4.6-p8 och tidigare 2.4.5-p10 och tidigare 2.4.4-p11 och tidigare |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 för 2.4.8-beta1 |
Alla |
2 |
|
| Adobe Commerce B2B |
1.5.1 och tidigare 1.4.2-p4 för 1.4.2-p3 och tidigare |
Alla | 2 | |
| Magento Open Source |
2.4.8-beta2 för 2.4.8-beta1 |
Alla |
2 | |
| Adobe Commerce och Magento Open Source | Isolerad korrigering för CVE-2025-24434 | Alla | 1 | Versionsinformation för isolerad korrigering för CVE-2025-24434 |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Felaktig begränsning av en sökväg till en begränsad katalog (”path traversal”) (CWE-22) | Eskalering av behörighet | Kritisk |
Ja | Ja | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Nej | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Gäller endast B2B-utgåvan |
| Informationsexponering (CWE-200) | Eskalering av behörighet | Kritisk | Ja | Ja | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Felaktig auktorisering (CWE-285) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Felaktig auktorisering (CWE-285) | Eskalering av behörighet | Kritisk | Nej | Nej | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Ja | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Överträdelse av principerna för säker design (CWE-657) | Eskalering av behörighet | Viktigt | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Gäller endast B2B-utgåvan |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Gäller endast B2B-utgåvan |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Gäller endast B2B-utgåvan |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Viktigt | Nej | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Gäller endast B2B-utgåvan |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktigt | Ja | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Gäller endast B2B-utgåvan |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktigt | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktigt | Ja | Ja | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktigt | Ja | Ja | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Gäller endast B2B-utgåvan |
| Affärslogikfel (CWE-840) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Nej | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Gäller endast B2B-utgåvan |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Serveröverskridande skriptning (lagrad XSS) (CW-79) | Exekvering av godtycklig kod | Viktigt | Ja | Nej | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Måttlig | Ja | Ja | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N | CVE-2025-24429 | |
| Tid-för-kontroll Tid-för-användning (TOCTOU) Problem vid programkörning (CWE-367) | Åsidosättning av säkerhetsfunktion | Måttlig | Nej | Nej | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Tid-för-kontroll Tid-för-användning (TOCTOU) Problem vid programkörning (CWE-367) | Åsidosättning av säkerhetsfunktion | Måttlig | Nej | Nej | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Akash Hamal (akashhamal0x01) – CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie – CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche – CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio – CVE-2025-24407
- g0ndaar – CVE-2025-24430
- sheikhrishad0 – CVE-2025-24432
Icare – CVE-2025-24406
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
