漏洞详情
包信息
- 包管理器: Composer
- 受影响包:
- magento/community-edition
- magento/project-community-edition
受影响版本
magento/community-edition:
-
= 2.4.7-beta1, < 2.4.7-p6
-
= 2.4.6-p1, < 2.4.6-p11
- < 2.4.5-p13
- = 2.4.5
- = 2.4.6
- = 2.4.7
- = 2.4.8
magento/project-community-edition:
- <= 2.0.2
已修复版本
- 2.4.7-p6
- 2.4.6-p11
- 2.4.5-p13
漏洞描述
Magento版本2.4.8、2.4.7-p5、2.4.6-p10、2.4.5-p12、2.4.4-p13及更早版本受到不正确的授权漏洞影响,可能导致安全功能绕过。高权限攻击者可利用此漏洞绕过安全措施并获得有限的未授权访问。利用此漏洞不需要用户交互。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-49549
- https://helpx.adobe.com/security/products/magento/apsb25-50.html
安全评分
CVSS总体评分
2.7/10 - 低危
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 高
- 用户交互: 无
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
EPSS评分
0.077% (第24百分位)
弱点分类
CWE-863: 不正确的授权 产品在参与者尝试访问资源或执行操作时执行授权检查,但未正确执行检查。这允许攻击者绕过预期的访问限制。