-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Adobe Commerce en Magento Advisory ID : NCSC-2025-0259 Versie : 1.00 Kans : medium CVE ID : CVE-2025-49554, CVE-2025-49555, CVE-2025-49556, CVE-2025-49557, CVE-2025-49558, CVE-2025-49559 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Time-of-check Time-of-use (TOCTOU) Race Condition Cross-Site Request Forgery (CSRF) Incorrect Authorization Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Improper Input Validation Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Uitgiftedatum : 20250813 Toepassing : Adobe Adobe Commerce Adobe Commerce Adobe Magento Versie(s) : Platform(s) : Beschrijving Adobe heeft kwetsbaarheden verholpen in Adobe Commerce en Magento (Versies 2.4.9-alpha1 en eerder). De kwetsbaarheden bevinden zich in de manier waarop Adobe Commerce omgaat met beveiligingsmaatregelen. Aanvallers met verhoogde rechten kunnen misbruik maken van een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid door kwaadaardige scripts in formulier velden te injecteren, wat kan leiden tot de uitvoering van schadelijke JavaScript in de browsers van gebruikers. Daarnaast zijn er kwetsbaarheden die het mogelijk maken voor aanvallers om beveiligingsmaatregelen te omzeilen, waardoor ongeautoriseerde toegang tot gevoelige delen van de applicatie mogelijk is zonder enige gebruikersinteractie. Dit kan leiden tot ongeautoriseerde wijzigingen en toegang tot gevoelige informatie. Mogelijke oplossingen Adobe heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://helpx.adobe.com/security/products/magento/apsb25-71.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmicZRQACgkQytTOqyR+ cF9xTgwAsiMfCGFNnSymrzbcsr2CfoeXcxOQ4mFJUZtoiVOrF/RXyE/Jk+fUmhTf htFJjrfpOpgN+x4JOPIyma1Q1g0UklLmsDD2vr2hjv1/rtRRAPIlBc0m+N39zDXu J0A5Hlop9kRjeABXycszzL9LmX5pey/GTQzOrjF8KwYyVIXrAv0X1JN3Oe4/5Smw N9R+X3O5TRE1NSF3l6CaXs2fv5/FaamdAW0cJCC/uhGiK0VF2mcTi1k0dco7y2YC Y+z/kJe22l5xxsvaPvrSosy+4mE3Xnm3q5KtYP8qIGWXIXZegcKmrJoQtJ7eK6Sx ssCsy5FQt0JDkPC5p+St9M6oafejp3DHGGV8nEY4DR7fH59k/M+iEYWyGSvyitXn 6fTuz9a24RMVSPfKKTmljHrW9Mpfwg9xkpuCMDFWDyxxGxaaZE9bMeLc2fNQYyAg gvX4LfIYm+9vSj9zM+AvJ4l/yVpuPMePuY08VxN941blGtCIkcrtgUHETCcFIgrf PaOj0mYI =wfa5 -----END PGP SIGNATURE-----