Dokumentation

Aktion erforderlich: Wichtiges Sicherheitsupdate für Adobe Commerce verfügbar (APSB25-88)

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Aktualisiert am 18. September 2025

Unabhängige Sicherheitsexperten haben uns kürzlich auf ein Problem in Adobe Commerce aufmerksam gemacht, bei dem ein Angreifer Kundenkonten über die Commerce REST-API übernehmen könnte (CVE-2025-54236).

Adobe hat keine Beweise dafür, dass diese Verwundbarkeit in freier Wildbahn ausgenutzt wird.

Adobe hat ein Sicherheitsbulletin veröffentlicht, das auf diese Sicherheitslücke eingeht, die Sie hier finden hier.

HINWEIS: Um die im obigen Sicherheitsbulletin aufgeführte Sicherheitslücke CVE-2025-54236 zu beheben, hat Adobe auch einen Hotfix VULN-32437-2-4-X-patch veröffentlicht, der CVE-2025-54236 auflöst.

Bitte wenden Sie den Hotfix so bald wie möglich an. Wenn Sie dies nicht tun, sind Sie für dieses Sicherheitsproblem anfällig, und Adobe verfügt nur über begrenzte Mittel, um Abhilfe zu schaffen.

HINWEIS: Für Händler, die Adobe Commerce in der Cloud-Infrastruktur verwenden, haben wir Regeln für die Web Application Firewall (WAF) bereitgestellt, um Umgebungen vor der Ausnutzung dieser Sicherheitslücke zu schützen.

Adobe hat zwar WAF-Regeln bereitgestellt, um die Ausnutzung dieser Sicherheitslücke zu verringern, sich jedoch ausschließlich auf WAF-Regeln zu verlassen, bietet keinen umfassenden Schutz. Im Rahmen ​ Modells der gemeinsamen Verantwortung ​ die Händler für die Sicherung ihrer Anwendung und die Anwendung von Patches verantwortlich. Der WAF ist eine zusätzliche Verteidigungsebene, ersetzt jedoch nicht die Notwendigkeit, Sicherheits-Hotfixes anzuwenden.

Sie müssen alle hier bereitgestellten Hinweise zur Fehlerbehebung befolgen, z. B. die Anwendung von Patches, die Aktualisierung von Modulen oder die Implementierung anderer empfohlener Sicherheitsmaßnahmen. Andernfalls kann Ihre Umgebung gefährdet sein und die Fähigkeit von Adobe zur Unterstützung bei der Problembehebung einschränken.

HINWEIS: Ihr Customer Success Engineer kann Adobe Commerce on Managed Services Merchants eine zusätzliche Anleitung zum Anwenden des Hotfixes bereitstellen.

HINWEIS: Wenn Sie Fragen haben oder Hilfe benötigen, zögern Sie bitte nicht, sich an ​ Support-Team zu wenden.

Zur Erinnerung: Die neuesten Sicherheitsaktualisierungen für Adobe Commerce finden Sie () ​.

Beschreibung description

Betroffene Produkte und Versionen

Adobe Commerce (alle Bereitstellungsmethoden):

  • 2.4.9-alpha2 und früher
  • 2.4.8-P2 und früher
  • 2.4.7-P7 und früher
  • 2.4.6-P12 und früher
  • 2.4.5-P14 und früher
  • 2.4.4-P15 und früher

Adobe Commerce B2B:

  • 1.5.3-alpha2 und früher
  • 1.5.2-p2 und früher
  • 1.4.2-P7 und früher
  • 1.3.4-P14 und früher
  • 1.3.3-P15 und früher

Magento Open Source:

  • 2.4.9-alpha2 und früher
  • 2.4.8-P2 und früher
  • 2.4.7-P7 und früher
  • 2.4.6-P12 und früher
  • 2.4.5-P14 und früher

Serialisierbares Modul für benutzerdefinierte Attribute:

  • Versionen 0.1.0 bis 0.4.0

Problem

Ein potenzieller Angreifer könnte Kundenkonten in Adobe Commerce über die Commerce REST-API übernehmen.

Auflösung resolution

CVE-2025-54236: Potenzielle Angreifer könnten Kundenkonten über die Commerce REST API übernehmen

Für Versionen von serialisierbaren Modulen mit benutzerdefinierten Attributen:

Diese Anleitung gilt nur, wenn auf Ihrer Adobe Commerce-Instanz derzeit eine ältere Version des Moduls „Custom Attributes Serializable“ (magento/out-of-process-custom-attributes) installiert ist.

HINWEIS:

  • Wenn das Serialisierbare Modul für benutzerdefinierte Attribute (magento/out-of-process-custom-attributes-Modul) nicht in Ihrer Umgebung installiert ist, können Sie diese Anweisung ignorieren und mit der Anwendung des bereitgestellten Hotfix-Patches (-32437-2-4-X-patch fortfahren.
  • Wenn Sie bereits die neueste Version des Moduls „Custom Attributes Serializable“ ausführen, ist kein Upgrade erforderlich. Fahren Sie mit dem Anwenden des bereitgestellten Hotfix-Patches VULN-32437-2-4-X-patch fort.

Stellen Sie sicher, dass Sie den bereitgestellten Hotfix-Patch VULN-32437 anwenden, um die Sicherheitslücke vollständig zu beheben.

Anwendbare Versionen: 0.1.0 - 0.3.0

Aktualisieren des serialisierbaren Moduls für benutzerdefinierte Attribute auf Version 0.4.0 oder höher.

Um das Modul zu aktualisieren kann dieser Composer Befehl ausgeführt werden:

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Für Adobe Commerce-Versionen:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-P1, 2.4.8-P2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15

Für Adobe Commerce B2B-Versionen:

  • 1.5.3-alpha1, 1.5.3-alpha2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1
  • 1.5.0
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1,4,1
  • 1.4.0
  • 1,3,5, 1,3,5-p1, 1,3,5-p2, 1,3,5-p3, 1,3,5-p4, 1,3,5-p5, 1,3,5-p6, 1,3,5-p7, 1,3,5-p8, 1,3,5-p9, 1,3,5-p10, 1,3,5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-P15

Für Magento Open Source-Versionen:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-P1, 2.4.8-P2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14

Wenden Sie den folgenden Hotfix an oder aktualisieren Sie auf den neuesten Sicherheits-Patch:

Anwenden des Hotfixes

Entpacken Sie die Datei und ​ Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen von Adobe bereitgestellten Composer-Patch an“.

Nur für Adobe Commerce on Cloud-Händler - Ermitteln, ob Patches angewendet wurden

Da nicht einfach festgestellt werden kann, ob das Problem behoben wurde, wird empfohlen zu überprüfen, ob der isolierte Patch CVE-2025-54236 erfolgreich angewendet wurde.

HINWEIS: Sie können dies tun, indem Sie die folgenden Schritte ausführen und dabei die Datei VULN-27015-2.4.7_COMPOSER.patch verwenden als Beispiel:

  1. Installieren Sie das Quality Patches Tool.

  2. Führen Sie den Befehl aus:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Es sollte eine ähnliche Ausgabe angezeigt werden, wobei dieses Beispiel VULN-27015 gibt den Applied-Status zurück:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Sicherheitsaktualisierungen

Für Adobe Commerce verfügbare Sicherheitsupdates:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f