Magento不当授权导致安全功能绕过 · CVE-2025-43585
漏洞详情
受影响版本
composer magento/community-edition (Composer)
-
= 2.4.7-beta1, < 2.4.7-p6
-
= 2.4.6-p1, < 2.4.6-p11
- < 2.4.5-p13
- = 2.4.5
- = 2.4.6
- = 2.4.7
- = 2.4.8
composer magento/project-community-edition (Composer)
- <= 2.0.2
已修复版本
- 2.4.7-p6
- 2.4.6-p11
- 2.4.5-p13
漏洞描述
Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不当授权漏洞的影响,可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得未授权访问权限,对机密性造成有限影响,但对完整性造成高风险影响。利用此漏洞不需要用户交互。
严重程度
高危 - CVSS评分:8.2/10
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性:低
- 完整性:高
- 可用性:无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-43585
- https://helpx.adobe.com/security/products/magento/apsb25-50.html
弱点分类
- CWE-285:不当授权
- 产品在参与者尝试访问资源或执行操作时,未执行或错误执行授权检查。
标识符
- CVE ID: CVE-2025-43585
- GHSA ID: GHSA-r487-9vv5-75gg
源代码
- magento/magento2