V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
AdobeПриложениеnvd,anchore_overrides

Magento

Уязвимости
161
Эксплуатируемые
3
Макс. CVSS
9.8
Макс. EPSS
0.99994

Распределение по критичности

Критический
8
Высокий
60
Средний
80
Низкий
13

Затронутые диапазоны версий

2.4.7-alpha0–2.4.72.4.7-alpha0–2.4.7-p12.4.7-alpha0–2.4.7-p3< 2.3.0< 2.4.4< 2.4.5< 2.4.6< 3.2.6≤ 2.4.1≤ 2.4.3
Также сопоставлено как (исходные строки): commerce_webhooks,magento,commerce,commerce_b2b

Топ уязвимостей

CVE-2024-45115Adobe Commerce версий 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости Improper Authentication, которая может привести к повышению привилегий. Злоумышленник может использовать эту уязвимость для получения несанкционированного доступа или повышенных привилегий в приложении. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2024-34107Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного контроля доступа, которая может привести к обходу функции безопасности. Злоумышленник может использовать эту уязвимость для обхода мер безопасности и просмотра незначительной несанкционированной информации. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2024-34102Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости неправильного ограничения ссылки на внешние XML-сущности ('XXE'), что может привести к выполнению произвольного кода. Злоумышленник может использовать эту уязвимость, отправив подготовленный XML-документ, который ссылается на внешние сущности. Эксплуатация этой проблемы не требует взаимодействия пользователя.
CVE-2022-24086Продукты Adobe Commerce версий 2.4.3-p1 (и более ранних) и 2.3.7-p2 (и более ранних) подвержены уязвимости, связанной с некорректной проверкой входных данных в процессе оформления заказа. Эксплуатация этой уязвимости не требует участия пользователя и может привести к произвольному выполнению кода.
CVE-2025-54236Adobe Commerce версий 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 и ранее затронуты уязвимостью неправильной проверки ввода. Успешная эксплуатация позволяет злоумышленнику обойти функции безопасности, что может привести к захвату сессии, повышению конфиденциальности и целостности до высокого уровня. Для устранения этой уязвимости необходимо обновиться до исправленной версии [1]. Источники: - [1] https://helpx.adobe.com/security/products/magento/apsb25-88.html
CVE-2025-24434Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости неправильной авторизации, которая может привести к повышению привилегий. Атакующий может использовать эту уязвимость для обхода мер безопасности и получения несанкционированного доступа. Эксплуатация этой проблемы не требует взаимодействия пользователя. Успешный атакующий может злоупотребить этим для осуществления захвата сессии, что повышает влияние на конфиденциальность и целостность.
CVE-2024-39397Adobe Commerce версий 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9 и более ранние подвержены уязвимости неограниченной загрузки файла с опасным типом, которая может привести к произвольному выполнению кода злоумышленником. Злоумышленник может использовать эту уязвимость, загрузив вредоносный файл, который затем может быть выполнен на сервере. Эксплуатация этой проблемы не требует взаимодействия с пользователем, но сложность атаки высока, и область действия изменена.
CVE-2024-20758Adobe Commerce версий 2.4.6-p4, 2.4.5-p6, 2.4.4-p7, 2.4.7-beta3 и более ранние подвержены уязвимости Improper Input Validation, которая может привести к произвольному выполнению кода в контексте текущего пользователя. Для эксплуатации этой уязвимости не требуется взаимодействие с пользователем, но сложность атаки высока.
CVE-2024-45148Версии Adobe Commerce 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 и более ранние подвержены уязвимости неправильной аутентификации, которая может привести к обходу функции безопасности. Злоумышленник с низким уровнем привилегий может использовать эту уязвимость для получения несанкционированного доступа без надлежащих учетных данных. Для эксплуатации этой проблемы не требуется взаимодействие с пользователем.
CVE-2024-34111Версии Adobe Commerce 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние подвержены уязвимости подделки запросов на стороне сервера (SSRF), которая может привести к произвольному чтению файловой системы. Аутентифицированный злоумышленник с низкими привилегиями может заставить приложение выполнять произвольные запросы путем внедрения произвольных URL-адресов. Эксплуатация этой проблемы не требует взаимодействия с пользователем.
CVE-2023-38218Версии Adobe Commerce 2.4.7-beta1 (и более ранние), 2.4.6-p2 (и более ранние), 2.4.5-p4 (и более ранние) и 2.4.4-p5 (и более ранние) подвержены неправильной авторизации. Аутентифицированный злоумышленник может использовать это для получения информации и повышения привилегий.
CVE-2026-34686Adobe Commerce версии 2.4.9-beta1, 2.4.8p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для впрыска вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле, потенциально получая повышенный доступ или контроль над учетной записью или сеансом жертвы. Сфера применения изменена.
CVE-2026-34653Adobe Commerce версии 2.4.9-beta1, 2.4.8-p4, 2.4.7p9, 2.4.6-p14, 2.4.5-p16, 2.4.4-p17 и ранее подвержены влиянию неправомерного ограничения пат-амина в ограниченном каталоге («Путь траверса»), что может привести к произвольной считывательной системе и записи. Аутентифицированный злоумышленник с административными привилегиями может использовать эту уязвимость для чтения или записи файлов за пределами ограниченного каталога. Эксплуатация этой проблемы не требует взаимодействия с пользователем. Сфера охвата была изменена.
CVE-2026-21290Adobe Commerce версии 2.4.9-alpha3, 2.4.8-p3, 2.4.7p8, 2.4.6-p13, 2.4.5-p15, 2.4.4-p16 и ранее подвержены влияния сохраненной уязвимости Cross-Site Scripting (XSS), которой может злоупотреблять низкопривилегированный злоумышленник для инъекции вредоносных скриптов в поля уязвимых форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они просматривают страницу, содержащую уязвимое поле. Успешный злоумышленник может злоупотреблять этим, чтобы добиться захвата сессии, повышения конфиденциальности и воздействия на целостность до высокого уровня. Эксплуатация этой проблемы требует взаимодействия пользователя в том, что жертва должна просматривать страницу, содержащую уязвимое поле.
CVE-2025-49557Adobe Commerce версий 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 и более ранних версий затронуты уязвимостью, связанной с хранением межсайтового скриптинга (XSS), которая может быть использована злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Эти скрипты могут быть использованы для повышения привилегий внутри приложения или компрометации конфиденциальных данных пользователей. Для эксплуатации этой уязвимости требуется взаимодействие пользователя, который должен перейти на страницу, содержащую уязвимое поле. Дополнительную информацию можно найти в источнике [1]. Источники: - [1] https://helpx.adobe.com/security/products/magento/apsb25-71.html
CVE-2025-24438Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости сохраненного Межсайтового скриптинга (XSS), которую может использовать атакующий с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный атакующий может злоупотребить этим для захвата сессии, увеличивая воздействие на конфиденциальность и целостность как высокое.
CVE-2025-24417Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и предыдущие подвержены уязвимости сохраненного межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда они посетят страницу с уязвимым полем. Успешный атакующий может использовать это для захвата сессии, что повышает уровень конфиденциальности и целостности до высокого.
CVE-2025-24416Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости XSS (межсайтовый скриптинг), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть исполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сессии, что повышает уровень воздействия на конфиденциальность и целостность.
CVE-2025-24415Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние затронуты уязвимостью хранения межсайтового скриптинга (XSS), которую можно использовать злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она заходит на страницу с уязвимым полем. Успешный злоумышленник может использовать это для захвата сеанса, что значительно увеличивает влияние на конфиденциальность и целостность.
CVE-2025-24414Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранее подвержены уязвимости XSS с сохранением, которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда они посещают страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеанса, что увеличивает влияние на конфиденциальность и целостность данных.
CVE-2025-24413Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранние подвержены уязвимости сохраненного межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный атакующий может использовать это для захвата сеансов, увеличивая влияние на конфиденциальность и целостность до высокого уровня.
CVE-2025-24412Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и ранее подвержены уязвимости сохранённого межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями, чтобы внедрить вредоносные скрипты в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеансов, что увеличивает воздействие на конфиденциальность и целостность.
CVE-2025-24410Версии Adobe Commerce 2.4.8-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 и более ранние подвержены уязвимости сохраняемого межсайтового скриптинга (XSS), которую может использовать злоумышленник с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля форм. Вредоносный JavaScript может выполняться в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Успешный злоумышленник может использовать это для захвата сеанса, что увеличивает влияние на конфиденциальность и целостность как высокое.
CVE-2023-38219Версии Adobe Commerce 2.4.7-beta1 (и более ранние), 2.4.6-p2 (и более ранние), 2.4.5-p4 (и более ранние) и 2.4.4-p5 (и более ранние) подвержены уязвимости хранимого межсайтового скриптинга (XSS), которая может быть использована злоумышленником с низкими привилегиями для внедрения вредоносных скриптов в уязвимые поля формы. Вредоносный код JavaScript может быть выполнен в браузере жертвы, когда она переходит на страницу, содержащую уязвимое поле. Полезная нагрузка хранится в области администратора, что приводит к высокому уровню конфиденциальности и целостности.
CVE-2025-47110Adobe Commerce версий 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 и ранее уязвимы к хранимому межсайтовому скриптингу (XSS), который может быть использован злоумышленником с высокими привилегиями для внедрения вредоносного кода в уязвимые поля форм. Вредоносный JavaScript может быть выполнен в браузере жертвы при просмотре страницы с уязвимым полем, что может привести к высокому воздействию на конфиденциальность, целостность и доступность [1]. Источники: - [1] https://helpx.adobe.com/security/products/magento/apsb25-50.html
Перейти к вендору →Открыть в каталоге с фильтром по продукту →