Adobe Commerce安全漏洞修复指南

荷兰国家网络安全中心发布安全公告,详细介绍了Adobe Commerce中多个高危漏洞的修复方案,包括跨站脚本攻击和权限控制漏洞,影响2.4.9-alpha2及更早版本,建议用户及时更新以确保系统安全。

NCSC安全公告

基本信息

  • 公告编号: NCSC-2025-0322 [1.0.0]
  • 发布日期: 2025年10月16日 08:32(欧洲/阿姆斯特丹)
  • 优先级: 正常
  • 涉及产品: Adobe Commerce漏洞修复

漏洞特征

  • 网页生成期间输入验证不当(跨站脚本)
  • 访问控制不当
  • 授权机制错误

漏洞描述

Adobe已修复Adobe Commerce(特别是2.4.9-alpha2及更早版本)中的多个安全漏洞。

这些漏洞包括:

  • 授权机制缺陷:允许低权限攻击者绕过安全措施,无需用户交互即可获取敏感数据的未授权访问
  • 存储型跨站脚本(XSS)漏洞:允许高权限攻击者在表单字段中注入恶意脚本,可能导致会话劫持和未授权操作

解决方案

Adobe已发布更新修复这些漏洞。更多详细信息请参阅参考资料。

参考资料

https://helpx.adobe.com//security/products/magento/apsb25-94.html

CVE编号

  • CVE-2025-54263 - CVSS (v3) 8.8
  • CVE-2025-54264 - CVSS (v3) 8.1
  • CVE-2025-54265 - CVSS (v3) 5.9
  • CVE-2025-54266 - CVSS (v3) 4.8
  • CVE-2025-54267 - CVSS (v3) 6.5

受影响产品

  • Adobe Commerce
  • Magento
  • Magento Open Source

免责声明

荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全公告的访问。使用此安全公告需遵守以下条款和条件:

  1. NCSC-NL尽一切合理努力确保此页面内容的及时更新、准确性和完整性。然而,NCSC-NL不能完全排除错误的可能性,因此不能保证其完整性、准确性或持续更新。本安全公告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中衍生任何权利。

  2. NCSC-NL和荷兰王国对因使用或无法使用此安全公告而造成的任何损害不承担任何法律责任或义务。这包括因公告中信息不准确或不完整而造成的损害。

  3. 本安全公告受荷兰法律管辖。所有与使用本公告相关或由此产生的争议将提交给海牙有管辖权的法院。此选择也适用于简易程序法院。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次