Magento认证安全功能绕过漏洞分析

漏洞详情

CVE ID: CVE-2025-49549

漏洞类型: 不正确的授权

严重程度: 低危

CVSS评分: 2.7/10

受影响版本

magento/community-edition (Composer)

受影响版本:

• = 2.4.7-beta1, < 2.4.7-p6

• = 2.4.6-p1, < 2.4.6-p11

• < 2.4.5-p13
• = 2.4.5
• = 2.4.6
• = 2.4.7
• = 2.4.8

已修复版本:

• 2.4.7-p6
• 2.4.6-p11
• 2.4.5-p13

magento/project-community-edition (Composer)

受影响版本: <= 2.0.2

漏洞描述

Magento 2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不正确的授权漏洞影响，可能导致安全功能绕过。高权限攻击者可能利用此漏洞绕过安全措施并获得有限的未经授权访问。利用此漏洞不需要用户交互。

技术细节

CVSS v3基础指标:

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：高
• 用户交互：无
• 范围：未改变
• 机密性：低
• 完整性：无影响
• 可用性：无影响

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N

弱点类型: CWE-863 不正确的授权

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-49549
• https://helpx.adobe.com/security/products/magento/apsb25-50.html

时间线

• 国家漏洞数据库发布: 2025年6月25日
• GitHub咨询数据库发布: 2025年6月26日
• 最后更新: 2025年10月22日