Adobe Commerce/Magento Open Source の複数の脆弱性APSB25-71

high Nessus プラグイン ID 261776

Language:

概要

リモートホストにインストールされている Adobe Commerce/Magento Open Source インスタンスは、複数の脆弱性の影響を受けます。

説明

このため、リモートホストにインストールされている Adobe Commerce/Magento Open Source のバージョンは、 APSB25-71 アドバイザリで言及されているように、複数の脆弱性の影響を受けます。

- Adobe Commerce のバージョン 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 以前のバージョンは、不適切な入力検証の脆弱性の影響を受けます。アプリケーションのサービス拒否が引き起こされる可能性があります。攻撃者がこの脆弱性を悪用して特別に細工された入力を提供し、アプリケーションをクラッシュさせたり、応答不能になったりする可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2025-49554)

- Adobe Commerce のバージョン 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 以前は、クロスサイトリクエスト偽造の影響を受けます。権限昇格を引き起こす可能性がある CSRF脆弱性。高い権限を持つ攻撃者が、被害者を騙して、被害者が認証されている Web アプリケーションで意図しないアクションを実行させることで、機密データに対して権限のないアクセスや変更を行う可能性があります。この問題の悪用には、被害者が悪意のあるWebサイトを閲覧するか、細工されたリンクをクリックする必要があるため、ユーザーインタラクションが必要です。範囲が変更されます。CVE-2025-49555

- Adobe Commerce のバージョン 2.4.9-alpha1、2.4.8-p1、2.4.7-p6、2.4.6-p11、2.4.5-p13、2.4.4-p14 以前は、格納型クロスサイトスクリプティングの影響を受けます。 XSSの脆弱性を悪用し、権限の低い攻撃者がこれを悪用して、悪意のあるスクリプトを脆弱なフォームフィールドに挿入する可能性があります。これらのスクリプトは、アプリケーション内で権限を昇格させたり、機密ユーザーデータを危険にさらしたりするために使用される可能性があります。この問題の悪用には、被害者が脆弱性フィールドを含むページを閲覧する必要があるというユーザーインタラクションが必要です。範囲が変更されます。CVE-2025-49557

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。