Documentación

Actualización de seguridad disponible para Adobe Commerce - APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

El 10 de junio de 2025, Adobe lanzó una actualización de seguridad programada regularmente para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas e importantes. La explotación exitosa de estas vulnerabilidades podría conducir a la omisión de características de seguridad, escalación de privilegios y ejecución de código arbitrario.

Encontrará más información en el Boletín de seguridad de Adobe (APSB25-50).

NOTA: Asegúrese de que las correcciones para CVE-2025-47110 enumeradas en el boletín de seguridad anterior, se puedan aplicar lo antes posible, Adobe también ha lanzado una revisión aislada que resuelve CVE-2025-47110. Esto permite a los comerciantes aplicar la corrección de forma aislada con menos riesgos de retraso debido a posibles problemas de integración.

Aplique las actualizaciones de seguridad más recientes lo antes posible. Si no lo hace, será vulnerable a estos problemas de seguridad y Adobe tendrá medios limitados para remediar el problema aún más.

Puede leer más sobre nuestro proceso de implementación de parches aislados aquí.

NOTA: Para los clientes de Adobe Commerce en Managed Services, su ingeniero de éxito del cliente puede proporcionar instrucciones adicionales para aplicar el parche.

NOTA: Póngase en contacto con los servicios de soporte técnico si tiene algún problema al aplicar el parche de seguridad o el parche aislado.

Como recordatorio, puede encontrar las últimas actualizaciones de seguridad disponibles para Adobe Commerce aquí.

Descripción description

Productos y versiones afectados

Adobe Commerce (todos los métodos de implementación):

  • 2.4.8
  • 2.4.7-p5 y anteriores
  • 2.4.6-p10 y anteriores
  • 2.4.5-p12 y anteriores
  • 2.4.4-p13 y anteriores

Problemas

  • Las versiones de Adobe Commerce 2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores se ven afectadas por una vulnerabilidad de ejecución almacenada de scripts en sitios múltiples (XSS) mediante la inyección de plantillas en el lado del servidor.
  • La versión 2.4.8 de Adobe Commerce se ve afectada por una vulnerabilidad XSS reflejada en marketplace.magento.com y un problema de adquisición de cuenta de un solo clic (ATO) en instancias de IMS.

Resolución resolution

I. CVE-2025-47110: XSS almacenado mediante inyección de plantillas del lado del servidor en Adobe Commerce 2.4.7-p4

Para las versiones de Adobe Commerce:

  • 2.4.8
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p1
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13

Aplique el siguiente parche aislado o actualice al último parche de seguridad.

II. VULN-31547: XSS reflejado en marketplace.magento.com + un problema de ensamblaje para pedido de un clic que afecta a las instancias de IMS

Para las versiones de Adobe Commerce:

  • 2.4.8

Aplique el siguiente parche aislado o actualice al último parche de seguridad.

Cómo aplicar el parche aislado

Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Solo para comerciantes de Adobe Commerce en la nube: cómo saber si se han aplicado los parches aislados

Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si el parche aislado CVE-2025-47110 se ha aplicado correctamente.

NOTA: Para ello, siga los siguientes pasos y use el archivo VULN-27015-2.4.7_COMPOSER.patch como ejemplo:

  1. Instalar la herramienta Parches de calidad.

  2. Ejecute el comando:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Debería ver una salida similar a esta, donde VULN-27015 devuelve el estado Aplicado:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f