Plateforme
adobe
Composant
magento
Corrigé dans
2.4.10
Une vulnérabilité d'autorisation incorrecte a été découverte dans Adobe Commerce, permettant potentiellement à un attaquant de contourner les mesures de sécurité et d'accéder à des données sans autorisation. Cette faille ne nécessite pas d'interaction de l'utilisateur pour être exploitée et peut avoir un impact significatif sur la sécurité des données. Les versions concernées incluent 0.0.0–2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14 et 2.4.4-p15. Une correction est disponible dans la version 2.4.9-alpha3.
La vulnérabilité CVE-2025-54265 dans Adobe Commerce, avec un score CVSS de 5.9, présente un risque d'accès non autorisé aux données sensibles. Cette autorisation incorrecte permet à un attaquant de contourner les mesures de sécurité et d'obtenir un accès en lecture non autorisé aux ressources qui devraient être protégées. Les versions concernées incluent 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 et versions antérieures. Il est important de noter que l'exploitation de cette vulnérabilité dépend de conditions qui échappent au contrôle de l'attaquant, ce qui rend son exploitation moins probable, mais pas impossible. L'absence d'interaction de l'utilisateur rend la vulnérabilité plus préoccupante car elle peut se produire sans que l'utilisateur en soit conscient.
L'exploitation de CVE-2025-54265 nécessite des conditions spécifiques qui ne sont pas directement contrôlées par l'attaquant. Cela implique que la vulnérabilité ne peut être exploitée que dans des circonstances particulières, ce qui réduit la probabilité d'une attaque généralisée. Cependant, l'absence d'interaction de l'utilisateur simplifie le processus d'exploitation, car aucune action de l'utilisateur n'est requise pour déclencher la vulnérabilité. L'attaquant doit identifier et exploiter ces conditions pour obtenir un accès non autorisé. La nature de ces conditions n'a pas été divulguée publiquement afin d'éviter de faciliter l'exploitation, mais les administrateurs système sont invités à être vigilants face à toute activité inhabituelle sur leurs systèmes Adobe Commerce.
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour atténuer le risque associé à CVE-2025-54265 est de mettre à jour Adobe Commerce vers la version 2.4.9-alpha3 ou ultérieure. Cette mise à jour inclut les correctifs nécessaires pour résoudre l'autorisation incorrecte. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour protéger votre boutique Adobe Commerce. De plus, examinez les configurations de permissions et d'accès pour vous assurer que le principe du moindre privilège est appliqué. Surveiller les journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Maintenir votre système à jour et appliquer les derniers correctifs de sécurité est une pratique fondamentale pour la sécurité de toute plateforme de commerce électronique.
Aplique la última actualización de seguridad proporcionada por Adobe para Adobe Commerce. Consulte la página de seguridad de Adobe para obtener más detalles e instrucciones específicas sobre cómo aplicar la corrección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 et versions antérieures sont concernées.
Mettez à jour vers Adobe Commerce 2.4.9-alpha3 ou version ultérieure.
Non, l'exploitation ne nécessite pas l'interaction de l'utilisateur.
Cela signifie que le système ne valide pas correctement les permissions, ce qui permet un accès non autorisé.
Consultez la documentation officielle d'Adobe Commerce et les avis de sécurité d'Adobe.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.