CVE-2025-43585:Magento授权不当导致安全功能绕过
漏洞详情
受影响版本
Magento/community-edition (Composer)
-
= 2.4.7-beta1, < 2.4.7-p6
-
= 2.4.6-p1, < 2.4.6-p11
- < 2.4.5-p13
- = 2.4.5
- = 2.4.6
- = 2.4.7
- = 2.4.8
Magento/project-community-edition (Composer)
- <= 2.0.2
已修复版本
- 2.4.7-p6
- 2.4.6-p11
- 2.4.5-p13
漏洞描述
Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本存在授权不当漏洞,可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得未授权访问,对机密性造成有限影响,但对完整性造成高风险影响。利用此漏洞无需用户交互。
严重程度评估
高危 - CVSS评分:8.2/10
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 作用域:未改变
- 机密性影响:低
- 完整性影响:高
- 可用性影响:无
CVSS向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-43585
- https://helpx.adobe.com/security/products/magento/apsb25-50.html
弱点分类
CWE-285:不当授权 - 当参与者尝试访问资源或执行操作时,产品未执行或错误执行授权检查。
标识符
- CVE ID: CVE-2025-43585
- GHSA ID: GHSA-r487-9vv5-75gg
源代码
magento/magento2