Dokumentation

Sicherheitsupdate für Adobe Commerce verfügbar - APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Am 10. Juni 2025 veröffentlichte Adobe ein regelmäßig geplantes Sicherheits-Update für Adobe Commerce und Magento Open Source. Dieses Update behebt kritische und wichtige Sicherheitslücken. Die erfolgreiche Ausnutzung dieser Sicherheitslücken kann zur Umgehung von Sicherheitsfunktionen, zur Berechtigungseskalation und zur Ausführung von beliebigem Code führen.

Weitere Informationen finden Sie im Adobe-Sicherheitsbulletin (APSB25-50) hier.

HINWEIS: Um sicherzustellen, dass die im obigen Sicherheitsbulletin aufgelisteten Korrekturen für CVE-2025-47110 so schnell wie möglich angewendet werden können, hat Adobe auch einen isolierten Patch veröffentlicht, der CVE-2025-47110 auflöst. Dadurch können Händler die Fehlerbehebung isoliert anwenden, sodass das Risiko von Verzögerungen aufgrund potenzieller Integrationsprobleme verringert wird.

Bitte wenden Sie die neuesten Sicherheitsupdates so bald wie möglich an. Andernfalls sind Sie für diese Sicherheitsprobleme anfällig, und Adobe verfügt nur über begrenzte Mittel, um das Problem weiter zu beheben.

Weitere Informationen über unseren isolierten Patch-Bereitstellungsprozess“ finden Sie hier.

HINWEIS: Ihr Customer Success Engineer kann Adobe Commerce Managed Services-Kunden bei der Installation des Patches weiterhelfen.

HINWEIS: Wenden Sie sich an den Support-Dienst, wenn beim Anwenden des Sicherheits-Patches/isolierten Patches Probleme auftreten.

Zur Erinnerung: Die neuesten für Adobe Commerce finden Sie hier.

Beschreibung description

Betroffene Produkte und Versionen

Adobe Commerce (alle Bereitstellungsmethoden):

  • 2,4,8
  • 2.4.7-P5 und früher
  • 2.4.6-P10 und früher
  • 2.4.5-P12 und früher
  • 2.4.4-P13 und früher

Probleme

  • Die Adobe Commerce-Versionen 2.4.8, 2.4.7-p5 und früher, 2.4.6-p10 und früher, 2.4.5-p12 und früher sowie 2.4.4-p13 und früher sind von einer gespeicherten Cross-Site-Scripting-(XSS)-Schwachstelle durch serverseitige Templateinjektion betroffen.
  • Adobe Commerce Version 2.4.8 ist von einer XSS-Sicherheitslücke in marketplace.magento.com und einem Problem mit einer Kontoübernahme mit einem Klick (ATO) in IMS-Instanzen betroffen.

Auflösung resolution

I. CVE-2025-47110: Speichern von XSS über Server-seitige Template-Injection in Adobe Commerce 2.4.7-p4

Für Adobe Commerce-Versionen:

  • 2,4,8
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13

Wenden Sie den folgenden isolierten Patch an oder aktualisieren Sie auf den neuesten Sicherheits-Patch.

II. VULN-31547: XSS in marketplace.magento.com dargestellt + 1-Klick-ATO-Problem mit Auswirkungen auf IMS-Instanzen

Für Adobe Commerce-Versionen:

  • 2,4,8

Wenden Sie den folgenden isolierten Patch an oder aktualisieren Sie auf den neuesten Sicherheits-Patch.

Anbringen des isolierten Pflasters

Entpacken Sie die Datei und Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen von Adobe bereitgestellten Composer-Patch an“.

Nur für Adobe Commerce on Cloud-Händler - Ermitteln, ob die isolierten Patches angewendet wurden

Da es nicht einfach möglich ist zu überprüfen, ob das Problem behoben wurde, sollten Sie überprüfen, ob der isolierte Patch CVE-2025-47110 erfolgreich angewendet wurde.

HINWEIS: Sie können dies tun, indem Sie die folgenden Schritte ausführen, indem Sie die Datei VULN-27015-2.4.7_COMPOSER.patch als Beispiel verwenden:

  1. Installieren des Quality Patches Tools.

  2. Führen Sie den Befehl aus:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Es sollte eine ähnliche Ausgabe angezeigt werden, bei der VULN-27015 den Status Angewendet zurückgibt:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Sicherheitsaktualisierungen

Für Adobe Commerce verfügbare Sicherheitsupdates:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f