CVE-2025-54265 は、Adobe Commerce における Incorrect Authorization の脆弱性です。この脆弱性を悪用すると、攻撃者がセキュリティ対策を回避し、不正なアクセス権を取得する可能性があります。影響を受けるバージョンは、0.0.0–2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 です。修正バージョンは 2.4.9-alpha3 であり、パッチが提供されています。
Adobe Commerce の CVE-2025-54265 は、CVSS スコア 5.9 で、機密データへの不正アクセスリスクをもたらします。この不適切な認証 (Incorrect Authorization) により、攻撃者はセキュリティ対策を回避し、通常は保護されているリソースへの不正な読み取りアクセス権を取得する可能性があります。影響を受けるバージョンには、2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15、およびそれ以前のバージョンが含まれます。この脆弱性の悪用は、攻撃者の制御を超えた条件に依存するため、悪用は容易ではありませんが、不可能ではありません。ユーザーインタラクションがないため、脆弱性がより懸念されるのは、ユーザーが気づかないうちに悪用が発生する可能性があるためです。
CVE-2025-54265 の悪用には、攻撃者が直接制御できない特定の条件が必要です。これは、脆弱性が特定の状況でのみ悪用される可能性があることを意味し、大規模な攻撃の可能性を低減します。ただし、ユーザーインタラクションがないため、悪用プロセスが簡素化されます。脆弱性をトリガーするためにユーザーのアクションは必要ありません。攻撃者は、これらの条件を特定して活用して、不正アクセス権を取得する必要があります。これらの条件の性質は、悪用の促進を防ぐために公開されていませんが、システム管理者は Adobe Commerce システムの異常な活動に注意する必要があります。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2025-54265 のリスクを軽減するための推奨される対策は、Adobe Commerce をバージョン 2.4.9-alpha3 以降に更新することです。この更新プログラムには、不適切な認証に対処するために必要な修正が含まれています。Adobe Commerce ストアを保護するために、できるだけ早くこの更新プログラムを適用することを強くお勧めします。さらに、最小特権の原則が適用されていることを確認するために、権限とアクセス構成を確認してください。システムログを監視して、潜在的な悪用試行を検出および対応することも役立ちます。システムを最新の状態に保ち、最新のセキュリティパッチを適用することは、あらゆる電子商取引プラットフォームのセキュリティにとって基本的なプラクティスです。
Aplique la última actualización de seguridad proporcionada por Adobe para Adobe Commerce. Consulte la página de seguridad de Adobe para obtener más detalles e instrucciones específicas sobre cómo aplicar la corrección.
脆弱性分析と重要アラートをメールでお届けします。
バージョン 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15、およびそれ以前のバージョンが影響を受けます。
Adobe Commerce を 2.4.9-alpha3 以降に更新してください。
いいえ、悪用にはユーザーインタラクションは必要ありません。
これは、システムが権限を正しく検証していないことを意味し、不正アクセスが可能になります。
Adobe Commerce の公式ドキュメントと Adobe のセキュリティアドバイザリを参照してください。