Commerce
Уязвимости
184
Эксплуатируемые
3
Макс. CVSS
9.8
Макс. EPSS
0.99994
Распределение по критичности
Критический
11
Высокий
66
Средний
94
Низкий
13
Затронутые диапазоны версий
2.3.0–2.3.72.4.0–2.4.42.4.7-alpha0–2.4.72.4.7-alpha0–2.4.7-p12.4.7-alpha0–2.4.7-p3< 2.3.0< 2.3.7< 2.4.4< 3.2.6≤ 2.3.7≤ 2.4.3
Также сопоставлено как (исходные строки): commerce_b2b,magento,commerce_webhooks,magento_open_source,magento_commerce,commerce
Топ уязвимостей
CVE-2024-45115Adobe Commerce версий 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости Improper Authentication, которая может привести к повышению привилегий. Злоумышленник может использовать эту уязвимость для получения несанкционированного доступа или повышенных привилегий в приложении. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2024-34107Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного контроля доступа, которая может привести к обходу функции безопасности. Злоумышленник может использовать эту уязвимость для обхода мер безопасности и просмотра незначительной несанкционированной информации. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2024-34102Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного ограничения ссылки на внешние XML-сущности ('XXE'), что может привести к выполнению произвольного кода. Злоумышленник может использовать эту уязвимость, отправив подготовленный XML-документ, который ссылается на внешние сущности. Эксплуатация этой проблемы не требует взаимодействия пользователя.
CVE-2022-34256Версии Adobe Commerce 2.4.3-p2 (и более ранние), 2.3.7-p3 (и более ранние) и 2.4.4 (и более ранние) подвержены уязвимости ненадлежащей авторизации, что может привести к повышению привилегий. Злоумышленник может использовать эту уязвимость для доступа к данным других пользователей. Эксплуатация этой уязвимости не требует взаимодействия с пользователем.
CVE-2022-24086Продукты Adobe Commerce версий 2.4.3-p1 (и более ранних) и 2.3.7-p2 (и более ранних) подвержены уязвимости, связанной с некорректной проверкой входных данных в процессе оформления заказа. Эксплуатация этой уязвимости не требует участия пользователя и может привести к произвольному выполнению кода.
CVE-2025-54236Adobe Commerce версий 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 и ранее затронуты уязвимостью неправильной проверки ввода. Успешная эксплуатация позволяет злоумышленнику обойти функции безопасности, что может привести к захвату сессии, повышению конфиденциальности и целостности до высокого уровня. Для устранения этой уязвимости необходимо обновиться до исправленной версии [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-88.html
CVE-2025-24434Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости неправильной авторизации, которая может привести к повышению привилегий. Атакующий может использовать эту уязвимость для обхода мер безопасности и получения несанкционированного доступа. Эксплуатация этой проблемы не требует взаимодействия пользователя. Успешный атакующий может злоупотребить этим для осуществления захвата сессии, что повышает влияние на конфиденциальность и целостность.
CVE-2024-20720Версии Adobe Commerce 2.4.6-p3, 2.4.5-p5, 2.4.4-p6 и более ранние подвержены уязвимости неправильной нейтрализации специальных элементов, используемых в OS Command ('OS Command Injection'), что может привести к произвольному выполнению кода злоумышленником. Для эксплуатации этой проблемы не требуется взаимодействие с пользователем.
CVE-2024-20719Версии Adobe Commerce 2.4.6-p3, 2.4.5-p5, 2.4.4-p6 и более ранние подвержены уязвимости межсайтового скриптинга (XSS), хранящегося типа, которой может злоупотребить злоумышленник с правами администратора для внедрения вредоносных скриптов на каждую страницу администратора. Вредоносный код JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле, что можно использовать для получения доступа администратора.
CVE-2024-39397Adobe Commerce версий 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9 и более ранние подвержены уязвимости неограниченной загрузки файла с опасным типом, которая может привести к произвольному выполнению кода злоумышленником. Злоумышленник может использовать эту уязвимость, загрузив вредоносный файл, который затем может быть выполнен на сервере. Эксплуатация этой проблемы не требует взаимодействия с пользователем, но сложность атаки высока, и область действия изменена.
CVE-2024-20758Adobe Commerce версий 2.4.6-p4, 2.4.5-p6, 2.4.4-p7, 2.4.7-beta3 и более ранние подвержены уязвимости Improper Input Validation, которая может привести к произвольному выполнению кода в контексте текущего пользователя. Для эксплуатации этой уязвимости не требуется взаимодействие с пользователем, но сложность атаки высока.
CVE-2024-45148Версии Adobe Commerce 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости неправильной аутентификации, которая может привести к обходу функции безопасности. Злоумышленник с низким уровнем привилегий может использовать эту уязвимость для получения несанкционированного доступа без надлежащих учетных данных. Для эксплуатации этой проблемы не требуется взаимодействие с пользователем.
CVE-2024-34111Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости подделки запросов на стороне сервера (SSRF), которая может привести к произвольному чтению файловой системы. Аутентифицированный злоумышленник с низкими привилегиями может заставить приложение выполнять произвольные запросы путем внедрения произвольных URL-адресов. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-38218Версии Adobe Commerce 2.4.7-beta1 (и более ранние), 2.4.6-p2 (и более ранние), 2.4.5-p4 (и более ранние) и 2.4.4-p5 (и более ранние) подвержены неправильной авторизации. Аутентифицированный злоумышленник может использовать это для получения информации и повышения привилегий.
CVE-2022-42344Версии Adobe Commerce 2.4.3-p2 (и более ранние), 2.3.7-p3 (и более ранние) и 2.4.4 (и более ранние) подвержены уязвимости Incorrect Authorization. Аутентифицированный злоумышленник может использовать эту уязвимость для получения информации и повышения привилегий.
CVE-2022-34255Версии Adobe Commerce 2.4.3-p2 (и более ранние), 2.3.7-p3 (и более ранние) и 2.4.4 (и более ранние) подвержены уязвимости ненадлежащего контроля доступа, что может привести к повышению привилегий. Злоумышленник с учетной записью с низкими привилегиями может использовать эту уязвимость для захвата учетной записи жертвы. Эксплуатация этой уязвимости не требует взаимодействия с пользователем.
CVE-2022-34254Версии Adobe Commerce 2.4.3-p2 (и более ранние), 2.3.7-p3 (и более ранние) и 2.4.4 (и более ранние) подвержены уязвимости ненадлежащего ограничения имени пути к ограниченному каталогу («Path Traversal»), которой злоумышленник может злоупотребить для внедрения вредоносных скриптов в уязвимую конечную точку. Злоумышленник с низкими привилегиями может использовать эту уязвимость для чтения локальных файлов и выполнения Stored XSS. Эксплуатация этой уязвимости не требует взаимодействия с пользователем.
CVE-2026-34686Adobe Commerce версии 2.4.9-beta1, 2.4.8p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для впрыска вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле, потенциально получая повышенный доступ или контроль над учетной записью или сеансом жертвы. Сфера применения изменена.
CVE-2026-34653Adobe Commerce версии 2.4.9-beta1, 2.4.8-p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию неправомерного ограничения пат-амина в ограниченном каталоге («Путь траверса»), что может привести к произвольной считывательной системе и записи. Аутентифицированный злоумышленник с административными привилегиями может использовать эту уязвимость для чтения или записи файлов за пределами ограниченного каталога. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата была изменена.
CVE-2026-21290Adobe Commerce версии 2.4.9-alpha3, 2.4.8-p3, 2.4.7p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 и ранее подвержены влияния сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для инъекции вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле. Успешный злоумышленник может злоупотреблять этим, чтобы добиться захвата сессии, повышения конфиденциальности и воздействия на целостность до высокого уровня. Эксплуатация этой проблемы требует взаимодействия пользователя в том, что жертва должна просматривать страницу, содержащую уязвимое поле.
CVE-2025-49557Adobe Commerce версий 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 и более ранних версий затронуты уязвимостью, связанной с хранением межсайтового скриптинга (XSS), которая может быть использована злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Эти скрипты могут быть использованы для повышения привилегий внутри приложения или компрометации конфиденциальных данных пользователей. Для эксплуатации этой уязвимости требуется взаимодействие пользователя, который должен перейти на страницу, содержащую уязвимое поле. Дополнительную информацию можно найти в источнике [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-71.html
CVE-2025-24438Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости сохраненного Межсайтового скриптинга (XSS), которую может использовать атакующий с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный атакующий может злоупотребить этим для захвата сессии, увеличивая воздействие на конфиденциальность и целостность как высокое.
CVE-2025-24417Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и предыдущие подвержены уязвимости сохраненного межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда они посетят страницу с уязвимым полем. Успешный атакующий может использовать это для захвата сессии, что повышает уровень конфиденциальности и целостности до высокого.
CVE-2025-24416Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости XSS (межсайтовый скриптинг), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сессии, что повышает уровень воздействия на конфиденциальность и целостность.
CVE-2025-24415Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние затронуты уязвимостью хранения межсайтового скриптинга (XSS), которую можно использовать злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный злоумышленник может использовать это для захвата сеанса, что значительно увеличивает влияние на конфиденциальность и целостность.