検出

Adobe Commerce/Magento Open Source の複数の脆弱性APSB25-94

high Nessus プラグイン ID 271842

Language:

概要

リモートホストにインストールされている Adobe Commerce/Magento Open Source インスタンスに、セキュリティパッチがありません。

説明

このため、リモートホストにインストールされている Adobe Commerce/Magento Open Source のバージョンは、 APSB25-94 アドバイザリで言及されているように、複数の脆弱性の影響を受けます。

 - Adobe Commerceのバージョン2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15以前は、不適切な認証の脆弱性の影響を受けます。権限の低い攻撃者がこの脆弱性を利用して、セキュリティ対策をバイパスし不正アクセスを維持する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2025-54263)

 - Adobe Commerce のバージョン 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前は、格納型クロスサイトスクリプティングの影響を受けます。 XSSクロスサイトスクリプティングXSSの脆弱性により、高い権限を持つ攻撃者がこれを悪用して、脆弱なフォームフィールドに悪意のあるスクリプトを注入する可能性があります。脆弱なフィールドを含むページをブラウズするとき、被害者のブラウザで悪意のあるJavaScriptが実行される可能性があります。攻撃者がこれを悪用してセッション乗っ取りを発生させ、機密性および整合性への影響を重要度高の状態に保つ可能性があります。この問題の悪用には、被害者が脆弱性フィールドを含むページを閲覧する必要があるというユーザーインタラクションが必要です。範囲が変更されます。CVE-2025-54264

 - Adobe Commerceのバージョン2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15以前は、不適切な認証の脆弱性の影響を受けます。権限の低い攻撃者がこの脆弱性を悪用して、セキュリティ対策をバイパスし、整合性への影響を高に引き上げる昇格した権限への不正アクセスを取得する可能性があります。この問題を悪用するにはユーザーの操作が必要です。(CVE-2025-54267)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Adobe Commerce/Magento Open Source を推奨されているバージョンにアップグレードしてください

参考資料

http://www.nessus.org/u?70b69795

プラグインの詳細

深刻度: High

ID: 271842

ファイル名: adobe_commerce_apsb25-94.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/10/28

更新日: 2025/10/28

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.9

CVSS v2

リスクファクター: High

基本値: 8.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-54263

CVSS v3

リスクファクター: High

基本値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

脆弱性情報

CPE: cpe:/a:adobe:magento, cpe:/a:adobe:commerce

パッチ公開日: 2025/10/14

脆弱性公開日: 2025/10/14

参照情報

CVE: CVE-2025-54263, CVE-2025-54264, CVE-2025-54265, CVE-2025-54266, CVE-2025-54267