Adobe Commerce heeft op 14 oktober vijf nieuwe veiligheidspatches uitgebracht. Twee van de vijf patches kregen een kritische score. De andere drie patches kregen een belangrijke score. In dit artikel leggen we de release uit en waarom het belangrijk is om deze patches te installeren. Dit doen wij aan de hand van het CVSS (Common Vulnerability Scoring System). Lees hier meer over Adobe patch release van 14 oktober.
Wat is het Common Vulnerability Scoring System?
Het CVSS (Common Vulnerability Scoring System) is de standaard om de ernst van beveiligingslekken te meten. Elk onderdeel krijgt een cijfer van 0 tot 10. Een hogere score geeft aan dat het beveiligingslek ernstiger is. Welke punten worden gemeten?
- Attack Vector
- Attack Complexity
- Privileges Required
- User Interaction
- Scope
- Confidentiality Impact
- Integrity Impact
- Availability Impact
Adobe Commerce deelt de CVSS-vector in de Security Bulletin. Aan de hand van deze score leggen wij de kwetsbaarheid uit.
De Adobe patch release van 14 oktober is beschikbaar voor de bovenstaande versies.
De Adobe patch release van 14 oktober in het algemeen
In het kort vertellen welke problemen worden opgelost.
- Allereerst is de SessionReaper officieel gepatcht.
- Meerdere fixes voor XSS-fouten in de backend.
- Een fix bij het instellen van de adminrol.
- SRI bevat nu verbeterde foutafhandeling, opschoning en validatie.
- De LoginAsCustomer-module is verbeterd.
- De ACL-resource is geüpdatet voor het aanmaken van orders in de backend.
Improper Access Control (CVE-2025-54263)
Improper Access Control (CVE-2025-54263) heeft een score van 8.8. Dit wil zeggen dat het een kritisch veiligheidslek is. Het CVSS geeft de volgende redenen:
- Een aanval kan op afstand via het netwerk worden uitgevoerd.
- Zonder speciale voorwaarden is een aanval eenvoudig uit te voeren.
- Een ingelogde gebruiker met beperkte rechten kan een aanval uitvoeren. Hier zijn geen admin rechten voor nodig.
- Gebruiker kunnen het lek misbruiken zonder interactie.
- Aanvaller kunnen informatie bekijken en stelen.
- Aanvallers kunnen data wijzigen of manipuleren.
- Een systeem kan ernstig worden aangetast (bijvoorbeeld crashen).
Deze kwetsbaarheid kan een grote impact hebben. Voor aanvallers is het relatief makkelijk om het systeem te misbruiken. Daarvoor is het belangrijk om zo snel mogelijk de patch te installeren.
Cross-site Scripting (CVE-2025-54264)
Cross-site Scripting (CVE-2025-54264) heeft een score van 8.1. Dit is ook een kritisch veiligheidslek. Het CVSS heeft de volgende punten gemeten:
- Een aanvaller kan via het internet of netwerk een aanval uitvoeren. Er is geen fysieke toegang nodig.
- Aanvallers kunnen eenvoudig een aanval uitvoeren.
- De aanvallers hebben wel hoge rechten nodig. Dus bijvoorbeeld een beheerdersaccount.
- De aanvallers moeten actie ondernemen, zoals het openen van bestanden, om te kunnen aanvallen.
- Een aanval heeft geen effect op het kwetsbare onderdeel zelf, maar wel op andere delen van het systeem.
- Aanvallers kunnen gegevens aanpassen of manipuleren.
- Het systeem kan niet worden gebroken.
Aanvallers kunnen in dit lek relatief makkelijk gegevens stelen en misbruiken. Denk bijvoorbeeld aan gevoelige informatie. Maar er is geen sprake van een systeemuitval.
Incorrect Authorization (CVE-2025-54265)
Incorrect Authorization (CVE-2025-54265) heeft een score van 5.9. Dit veiligheidslek heeft een gemiddelde risico. Het CVSS geeft de volgende redenen:
- Aanvallers kunnen via het internet of netwerk toegang krijgen. Er is geen fysieke toegang nodig.
- Aanvallers hebben geen inloggegevens of rechten nodig voor toegang, maar een aanval uitvoeren is complex.
- Aan aanval is gericht op specifieke onderdelen. Andere componenten worden niet getroffen. Ook wordt het systeem niet verstoort.
- Gevoelige informatie kan worden gestolen, maar aanvallers kunnen deze niet manipuleren.
Ondanks dat aanvallers makkelijk in het systeem kunnen, is het moeilijk om een aanval uit te voeren. Er zijn complexe stappen nodig voor de uitvoering.
Cross-site scripting (CVE-2025-54266)
Cross-site scripting (CVE-2025-54266) heeft een score van 4.8. Dit veiligheidslek heeft de laagste score van de vijf kwetsbaarheden. Het CVSS geeft de volgende uitleg:
- Aanvaller hebben geen fysieke toegang nodig. Zij kunnen dit uitvoeren via het netwerk of internet.
- Aanvallers kunnen makkelijk een aanval uitvoeren, maar zij hebben hier hoge rechten voor nodig zoals een beheerdersaccount. Voor een aanval moeten zij meerdere stappen ondernemen.
- Gevoelige gegevens worden beperkt gelekt. Aanvallers kunnen wel kleine aanpassingen maken in deze gegevens.
- Een aanval heeft effect op componenten buiten het target systeem. Maar er is geen sprake van een crash of storing.
Aanvallers kunnen dus misbruik maken van dit beveiligingslek, maar de impact blijft beperkt. Er zijn veel voorwaarden verbonden aan het uitvoeren van een aanval en de gevolgen zijn klein. Het uitlekken van gevoelige informatie blijft minimaal en de systemen crashen niet.
Incorrect authorization (CVE-2025-54267)
Incorrect authorization (CVE-2025-54267) heeft een score van 6.5. Dit beveiligingslek heeft een gemiddeld risico. Het CVSS heeft de volgende punten geconstateerd:
- Ook in dit lek kunnen aanvallers vanuit het netwerk een aanval uitvoeren. Er is geen fysieke toegang nodig.
- Aanvallers met gebruikersrechten kunnen relatief eenvoudig een aanval uitvoeren. Ook hoeven zij hier geen stappen voor te ondernemen (zoals het openen van bestanden).
- De aanvallers kunnen gegevens manipuleren of aanpassen, maar er kan geen gevoelige informatie uitlekken.
- Componenten buiten het specifieke systeemonderdeel worden niet aangetast. Ook is er geen sprake van een crash of vertraging.
Aanvallers hebben weinig rechten nodig om gegevens te manipuleren. Denk bijvoorbeeld aan plegen van fraude of misleiding. Maar er is geen sprake van lekken.
Welke stappen moet ik nu ondernemen met de Adobe patch release van 14 oktober?
De belangrijkste stap is om gelijk actie te ondernemen. Alle patches moeten doorgevoerd worden om schade te voorkomen. Beheert een webshopagency jouw webshop? Dan zullen zij de patches voor je doorvoeren. Heb je geen webshopagency? 3WebApps helpt je graag met het patchen. Via de onderstaande knop neem je contact met ons op.