Commerce B2b
Уязвимости
111
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.96742
Распределение по критичности
Критический
3
Высокий
41
Средний
55
Низкий
12
Затронутые диапазоны версий
1.4.2-alpha0–1.4.2-p3< 1.3.3
Также сопоставлено как (исходные строки): commerce_b2b,commerce,magento
Топ уязвимостей
CVE-2024-45115Adobe Commerce версий 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости Improper Authentication, которая может привести к повышению привилегий. Злоумышленник может использовать эту уязвимость для получения несанкционированного доступа или повышенных привилегий в приложении. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2025-54236Adobe Commerce версий 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 и ранее затронуты уязвимостью неправильной проверки ввода. Успешная эксплуатация позволяет злоумышленнику обойти функции безопасности, что может привести к захвату сессии, повышению конфиденциальности и целостности до высокого уровня. Для устранения этой уязвимости необходимо обновиться до исправленной версии [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-88.html
CVE-2025-24434Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости неправильной авторизации, которая может привести к повышению привилегий. Атакующий может использовать эту уязвимость для обхода мер безопасности и получения несанкционированного доступа. Эксплуатация этой проблемы не требует взаимодействия пользователя. Успешный атакующий может злоупотребить этим для осуществления захвата сессии, что повышает влияние на конфиденциальность и целостность.
CVE-2024-45148Версии Adobe Commerce 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости неправильной аутентификации, которая может привести к обходу функции безопасности. Злоумышленник с низким уровнем привилегий может использовать эту уязвимость для получения несанкционированного доступа без надлежащих учетных данных. Для эксплуатации этой проблемы не требуется взаимодействие с пользователем.
CVE-2026-34686Adobe Commerce версии 2.4.9-beta1, 2.4.8p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для впрыска вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле, потенциально получая повышенный доступ или контроль над учетной записью или сеансом жертвы. Сфера применения изменена.
CVE-2026-34653Adobe Commerce версии 2.4.9-beta1, 2.4.8-p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию неправомерного ограничения пат-амина в ограниченном каталоге («Путь траверса»), что может привести к произвольной считывательной системе и записи. Аутентифицированный злоумышленник с административными привилегиями может использовать эту уязвимость для чтения или записи файлов за пределами ограниченного каталога. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата была изменена.
CVE-2026-21290Adobe Commerce версии 2.4.9-alpha3, 2.4.8-p3, 2.4.7p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 и ранее подвержены влияния сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для инъекции вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле. Успешный злоумышленник может злоупотреблять этим, чтобы добиться захвата сессии, повышения конфиденциальности и воздействия на целостность до высокого уровня. Эксплуатация этой проблемы требует взаимодействия пользователя в том, что жертва должна просматривать страницу, содержащую уязвимое поле.
CVE-2025-49557Adobe Commerce версий 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 и более ранних версий затронуты уязвимостью, связанной с хранением межсайтового скриптинга (XSS), которая может быть использована злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Эти скрипты могут быть использованы для повышения привилегий внутри приложения или компрометации конфиденциальных данных пользователей. Для эксплуатации этой уязвимости требуется взаимодействие пользователя, который должен перейти на страницу, содержащую уязвимое поле. Дополнительную информацию можно найти в источнике [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-71.html
CVE-2025-24438Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости сохраненного Межсайтового скриптинга (XSS), которую может использовать атакующий с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный атакующий может злоупотребить этим для захвата сессии, увеличивая воздействие на конфиденциальность и целостность как высокое.
CVE-2025-24417Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и предыдущие подвержены уязвимости сохраненного межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда они посетят страницу с уязвимым полем. Успешный атакующий может использовать это для захвата сессии, что повышает уровень конфиденциальности и целостности до высокого.
CVE-2025-24416Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости XSS (межсайтовый скриптинг), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сессии, что повышает уровень воздействия на конфиденциальность и целостность.
CVE-2025-24415Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние затронуты уязвимостью хранения межсайтового скриптинга (XSS), которую можно использовать злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный злоумышленник может использовать это для захвата сеанса, что значительно увеличивает влияние на конфиденциальность и целостность.
CVE-2025-24414Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранее подвержены уязвимости XSS с сохранением, которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они посещают страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеанса, что увеличивает влияние на конфиденциальность и целостность данных.
CVE-2025-24413Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранние подвержены уязвимости сохраненного межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный атакующий может использовать это для захвата сеансов, увеличивая влияние на конфиденциальность и целостность до высокого уровня.
CVE-2025-24412Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранее подвержены уязвимости сохранённого межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями, чтобы внедрить вредоносные скрипты в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеансов, что увеличивает воздействие на конфиденциальность и целостность.
CVE-2025-24410Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости сохраняемого межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может выполняться в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеанса, что увеличивает влияние на конфиденциальность и целостность как высокое.
CVE-2025-47110Adobe Commerce версий 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 и ранее уязвимы к хранимому межсайтовому скриптингу (XSS), который может быть использован злоумышленником с высокими привилегиями для внедрения вредоносного кода в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы при просмотре страницы с уязвимым полем, что может привести к высокому воздействию на конфиденциальность, целостность и доступность [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-50.html
CVE-2025-43585Adobe Commerce версии 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 и более ранние версии подвержены уязвимости Improper Authorization, которая может привести к обходу функции безопасности. Злоумышленник может использовать эту уязвимость, чтобы обойти меры безопасности и получить несанкционированный доступ, что приведет к ограниченному воздействию на конфиденциальность и высокому воздействию на целостность. Использование этой проблемы не требует взаимодействия с пользователем. Согласно информации из источника [1], Adobe не знает о каких-либо эксплойтах в дикой природе для любых проблем, решаемых этими обновлениями.
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-50.html
CVE-2025-24409Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранее подвержены уязвимости Некорректная Авторизация, которая может привести к обходу средств безопасности. Злоумышленник может использовать эту уязвимость для обхода защитных мер и получения несанкционированного доступа, что приведет к высокому воздействию на конфиденциальность и низкому воздействию на целостность. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2026-21361Adobe Commerce версии 2.4.9-alpha3, 2.4.8-p3, 2.4.7p8, 2.4.6p13, 2.4.5-p15, 2.4.4-p16 и ранее подвержены влиянию на сохраненную уязвимость Cross-Site Scripting (XSS), которой может злоупотреблять высокопривилегированный злоумышленник для введения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле. Успешный злоумышленник может злоупотреблять этим, чтобы добиться захвата сеанса, повышая конфиденциальность и влияние на целостность до высокого уровня. Эксплуатация этой проблемы требует взаимодействия пользователя в том, что жертва должна просматривать страницу, содержащую уязвимое поле.
CVE-2026-21284На Adobe Commerce версии 2.4.9-alpha3, 2.4.8-p3, 2.4.7-p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 и ранее на нее влияет сохраненная уязвимость Cross-Site Scripting (XSS), которой может злоупотреблять высокопривилегированный злоумышленник для инъекции вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле. Успешный злоумышленник может злоупотреблять этим, чтобы добиться захвата сессии, повышения конфиденциальности и воздействия на целостность до высокого уровня. Эксплуатация этой проблемы требует взаимодействия пользователя в том, что жертва должна просматривать страницу, содержащую уязвимое поле.
CVE-2025-54264Межсайтовый скриптинг в Adobe Commerce and Magento Open Source
CVE-2025-54263Получение конфиденциальной информации в Adobe Commerce and Magento Open Source
CVE-2025-49555Adobe Commerce версий 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 и более ранних версий затронуты уязвимостью Cross-Site Request Forgery (CSRF), которая может привести к повышению привилегий. Злоумышленник с высокими привилегиями может обмануть жертву, заставив ее выполнить непреднамеренные действия в веб-приложении, где жертва аутентифицирована, что потенциально может привести к несанкционированному доступу или изменению конфиденциальных данных. Эксплуатация этой проблемы требует взаимодействия с пользователем, т. е. жертва должна посетить вредоносный веб-сайт или нажать на созданную ссылку [1].
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-71.html
CVE-2025-43586Adobe Commerce версий 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 и более ранних затронуты уязвимостью Improper Access Control, которая может привести к повышению привилегий. Злоумышленник с низкими привилегиями может воспользоваться этой уязвимостью, чтобы обойти меры безопасности и получить неавторизованный повышенный доступ. Для эксплуатации этой проблемы не требуется взаимодействие пользователя.
Дополнительная информация доступна в [1] https://helpx.adobe.com/security/products/magento/apsb25-50.html.
Источники:
- [1] https://helpx.adobe.com/security/products/magento/apsb25-50.html