Vulnérabilité de type Cross site Scripting (XSS) affectant Adobe Commerce et Magento

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/048

Date de l’alerte : 16/06/2025

APERÇU :

Une vulnérabilité critique affectant Adobe Commerce et Magento Open Source, permettrait à un acteur malveillant d’injecter du code JavaScript malveillant dans le navigateur des utilisateurs. 

DESCRIPTION :

Adobe Commerce et Magento Open Source sont des plateformes de commerce électronique qui permettent de gérer et personnaliser des boutiques en ligne avec des fonctionnalités essentielles comme la gestion des produits, des commandes et des clients. 

Ces plateformes sont affectées par une vulnérabilité libellée CVE-2025-47110, qui résulte d’une mauvaise gestion des entrées utilisateurs. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’injecter dans les pages web des scripts malveillants, qui seront ensuite exécutés dans le navigateur d’autres utilisateurs. Cela pourrait entraîner le vol de données sensibles, telles que des cookies de sessions etc.  

Cette vulnérabilité est classée critique avec un score de sévérité de 9.1 selon le CVSS v3.1. 

IMPACT :

  • Atteinte à confidentialité des données ;
  • Vol de données sensible;
  • Atteinte à l’intégrité des données.

 SYSTÈMES AFFECTÉS : 

  • Adobe Commerce et Magento Open Source version 2.4.7-p5 et versions antérieures ; 
  • Adobe Commerce et Magento Open Source version 2.4.6-p10 et versions antérieures ; 
  • Adobe Commerce et Magento Open Source version 2.4.5-p12 et versions antérieures ; 
  • Adobe Commerce et Magento Open Source version 2.4.4-p13 et versions antérieures ; 
  • Adobe Commerce et Magento Open Source version 2.4.8. 

MESURES À PRENDRE :

  • Pour les versions 2.4.8 d’Adobe Commerce et Magento Open Source, mettez à jour vers la version 2.4.8-p1 ; 
  • Pour les versions 2.4.7-p5 et antérieures d’Adobe Commerce et Magento Open Source, mettez à jour vers la version 2.4.7-p6 ; 
  • Pour les versions 2.4.6-p10 et antérieures d’Adobe Commerce et Magento Open Source, mettez à jour vers la version 2.4.6-p11, incluant le correctif pour la CVE-2025-47110 ; 
  • Pour les versions 2.4.5-p12 et antérieures d’Adobe Commerce et Magento Open Source, mettez à jour vers la version 2.4.5-p13, qui corrige cette vulnérabilité ; 
  • Pour les versions 2.4.4-p13 et antérieures d’Adobe Commerce et Magento Open Source, mettez à jour vers la version 2.4.4-p14, intégrant le correctif de sécurité publié par Adobe. 

RÉFÉRENCES :

Partagez sur vos réseaux.