CVE-2025-54265 是Adobe Commerce中发现的一个权限错误漏洞。该漏洞允许攻击者绕过安全措施,从而可能导致未经授权的数据访问。受影响的版本包括0.0.0–2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15。此漏洞已在2.4.9-alpha3版本中修复。
Adobe Commerce 中的 CVE-2025-54265 具有 5.9 的 CVSS 评分,对敏感数据未经授权的访问构成风险。此不正确的授权 (Incorrect Authorization) 允许攻击者绕过安全措施并获得对通常应受保护的资源的未经授权的读取访问权限。受影响的版本包括 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以及更早的版本。重要的是要注意,此漏洞的利用取决于攻击者无法控制的条件,这使得利用不太可能发生,但并非不可能。由于缺乏用户交互,此漏洞更令人担忧,因为它可以在用户不知情的情况下发生。
CVE-2025-54265 的利用需要攻击者无法直接控制的特定条件。这意味着该漏洞可能仅在特定情况下被利用,从而降低了大规模攻击的可能性。但是,缺乏用户交互简化了利用过程,因为不需要用户执行任何操作来触发漏洞。攻击者必须识别并利用这些条件以获得未经授权的访问权限。这些条件的性质尚未公开披露,以防止促进利用,但系统管理员应注意 Adobe Commerce 系统的任何异常活动。
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2025-54265 的建议缓解措施是将 Adobe Commerce 更新到版本 2.4.9-alpha3 或更高版本。此更新包含解决不正确授权所需的修复程序。强烈建议尽快应用此更新以保护您的 Adobe Commerce 商店。此外,请审查权限和访问配置,以确保应用最小权限原则。监控系统日志以查找可疑活动也可以帮助检测和响应潜在的利用尝试。保持系统更新并应用最新的安全补丁是任何电子商务平台的安全的基本实践。
Aplique la última actualización de seguridad proporcionada por Adobe para Adobe Commerce. Consulte la página de seguridad de Adobe para obtener más detalles e instrucciones específicas sobre cómo aplicar la corrección.
漏洞分析和关键警报直接发送到您的邮箱。
版本 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以及更早的版本受到影响。
更新到 Adobe Commerce 2.4.9-alpha3 或更高版本。
不,利用不需要用户交互。
这意味着系统没有正确验证权限,从而允许未经授权的访问。
请参阅 Adobe Commerce 的官方文档和 Adobe 的安全建议。