Adobe Commerce/Magento 開放原始碼多個弱點 (APSB25-94)
high Nessus Plugin ID 271842
語言:
概要
遠端主機上安裝的 Adobe Commerce/Magento Open Source 執行個體缺少安全性修補程式。說明
因此遠端主機上安裝的 Adobe Commerce/Magento Open Source 版本會受到 APSB25-94 公告中所提及的多個弱點影響。- Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 和更舊版本受到一個錯誤授權弱點影響。低權限攻擊者可利用此弱點繞過安全措施並維持未經授權的存取。無需進行使用者互動,也可惡意利用此問題。(CVE-2025-54263)
- Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 和更舊版本受到一個已儲存的跨網站指令碼影響(XSS) 高權限的攻擊者可濫用此弱點將惡意指令碼插入有弱點的表單欄位中。當受害者瀏覽至包含有弱點欄位的頁面時惡意 JavaScript 可能會在受害者的瀏覽器中執行。成功的攻擊者可濫用此弱點達到工作階段接管進而將機密性和完整性影響提高到高。惡意利用此問題需要使用者互動因為受害者必須瀏覽至包含有弱點欄位的頁面。範圍已變更。 (CVE-2025-54264)
- Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 和更舊版本受到一個錯誤授權弱點影響。低權限攻擊者可利用此弱點繞過安全措施並在未經授權的情況下存取提升的權限進而將完整性影響提高為高。無需進行使用者互動,也可惡意利用此問題。(CVE-2025-54267)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
依建議升級至 Adobe Commerce/Magento Open Source 版本另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 271842
檔案名稱: adobe_commerce_apsb25-94.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/10/28
已更新: 2025/10/28
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.9
CVSS v2
風險因素: High
基本分數: 8.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS 評分資料來源: CVE-2025-54263
CVSS v3
風險因素: High
基本分數: 8.1
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
弱點資訊
CPE: cpe:/a:adobe:magento, cpe:/a:adobe:commerce
修補程式發佈日期: 2025/10/14
弱點發布日期: 2025/10/14
參考資訊
CVE: CVE-2025-54263, CVE-2025-54264, CVE-2025-54265, CVE-2025-54266, CVE-2025-54267