Podatność klasy Improper Input Validation (CWE-20) w Adobe Commerce i Magento umożliwia nieuwierzytelnionemu atakującemu przejęcie sesji użytkownika (session takeover). Luka jest aktywnie wykorzystywana, posiada ocenę CVSS 9.1 i nie wymaga żadnej interakcji ze strony ofiary.
▸ Pokaż oryginał (EN)
Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction.
Błąd wynika z nieprawidłowej walidacji danych wejściowych w Adobe Commerce. Atakujący, bez posiadania konta ani konieczności nakłaniania użytkownika do jakiejkolwiek akcji, może dostarczyć spreparowane dane wejściowe do podatnego mechanizmu aplikacji. Skutkuje to przejęciem aktywnej sesji innego użytkownika — w tym potencjalnie administratora sklepu — co daje atakującemu wysoki poziom dostępu do poufnych danych i możliwość modyfikacji zasobów.
Atakujący może uzyskać pełną kontrolę nad przejętą sesją, co przekłada się na wysoki wpływ na poufność (dostęp do danych klientów, zamówień, konfiguracji) oraz integralność systemu (możliwość wprowadzania nieautoryzowanych zmian). Podatność nie wpływa bezpośrednio na dostępność systemu.
Należy niezwłocznie zaktualizować Adobe Commerce i Magento do wersji zawierających poprawkę opisaną w biuletynie bezpieczeństwa producenta APSB25-88 (https://helpx.adobe.com/security/products/magento/apsb25-88.html). Ze względu na aktywne exploitowanie w środowisku produkcyjnym aktualizacja powinna być priorytetem natychmiastowym. Do czasu wdrożenia patcha zaleca się wzmożone monitorowanie sesji oraz rozważenie ograniczenia dostępu do panelu administracyjnego.
Adobe Commerce oraz Adobe Magento w wersjach: 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejszych. Dotyczy również Adobe Commerce B2B.
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza aktywne wykorzystywanie w środowiskach produkcyjnych. Biuletyn producenta dostępny pod adresem APSB25-88.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NAdobe Commerce
APPAdobe2.4.42.4.52.4.62.4.72.4.82.4.9Adobe Commerce B2b
APPAdobe1.3.31.3.41.4.21.5.21.5.3Adobe Magento
APPAdobe2.4.52.4.62.4.72.4.82.4.9
CISA KEV — szczegółyi
- Dostawcai
- Adobe ↗
- Produkti
- Commerce and Magento
- Data dodania do KEVi
- 24 października 2025
- Termin remediation (USA)i
- 14 listopada 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Adobe Commerce i Magento Open Source zawierają lukę dotyczącą nieprawidłowej walidacji danych wejściowych, która mogłaby umożliwić atakującemu przejęcie kont klientów poprzez Commerce REST API.
▸ Pokaż oryginał (EN)
Adobe Commerce and Magento Open Source contain an improper input validation vulnerability that could allow an attacker to take over customer accounts through the Commerce REST API.
Powiązane podatności
Krytyczna podatność XXE w Adobe Commerce umożliwiająca RCE
Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...
Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation
Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation
Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików