Magento不当访问控制导致安全功能绕过 · CVE-2025-27206
漏洞详情
受影响版本
composer magento/community-edition (Composer)
-
= 2.4.7-beta1, < 2.4.7-p6
-
= 2.4.6-p1, < 2.4.6-p11
- < 2.4.5-p13
- = 2.4.5
- = 2.4.6
- = 2.4.7
- = 2.4.8
composer magento/project-community-edition (Composer)
- <= 2.0.2
已修复版本
- 2.4.7-p6
- 2.4.6-p11
- 2.4.5-p13
漏洞描述
Adobe Commerce版本2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不当访问控制漏洞的影响,可能导致安全功能被绕过。攻击者可利用此漏洞绕过安全措施并获得有限的写入权限。利用此漏洞不需要用户交互。
严重程度
中等严重程度 - CVSS评分:5.3/10
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性影响:无
- 完整性影响:低
- 可用性影响:无
CVSS向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-27206
- https://helpx.adobe.com/security/products/magento/apsb25-50.html
弱点分类
CWE-284 - 不当访问控制 产品未限制或错误限制未经授权的参与者对资源的访问。
标识符
- CVE ID: CVE-2025-27206
- GHSA ID: GHSA-g2pj-xmxq-3r9q
源代码
magento/magento2