Documentación

Actualización de seguridad disponible para Adobe Commerce - APSB24-40

Last update: Tue Jul 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Nota: **Esta es una actualización urgente relacionada con CVE-2024-34102. Adobe es consciente de que CVE-2024-34102 ha sido explotado en su hábitat natural en ataques muy limitados dirigidos a comerciantes de Adobe Commerce.

El 17 de julio de 2024, publicamos una revisión además de la actualización de seguridad publicada el 11 de junio de 2024 o el parche aislado publicado el 28 de junio de 2024.

Compruebe todos los entornos de producción y que no sean de producción para asegurarse de que la tienda tenga parches en todas las instancias. Tome medidas inmediatas para resolver la vulnerabilidad.

Nota: Solo para comerciantes de Adobe Commerce en la nube:

  1. Asegúrese de que está en la última versión de ECE Tools. Si no lo está, actualice (o salte al elemento 2). Para comprobar la versión existente, ejecute este comando: composer show magento/ece-tools
  2. Si ya está en la última versión de las herramientas ECE, compruebe la presencia del archivo op-exclude.txt. Para ello, ejecute este comando: ls op-exclude.txt. Si este archivo no está presente, agregue https://github.com/magento/magento-cloud/blob/master/op-exclude.txt a su repositorio, confirme el cambio y vuelva a implementar.
  3. Sin tener que actualizar las herramientas de ECE, también puede añadir/modificar https://github.com/magento/magento-cloud/blob/master/op-exclude.txt en su repositorio, luego confirmar el cambio y volver a implementar.

Opción 1: para los comerciantes que no hayan aplicado la actualización de seguridad del 11 de junio de 2024 ni el parche aislado lanzado el 28 de junio de 2024

  1. Aplicar revisión publicada el 17 de julio de 2024.
  2. Aplique el parche de seguridad.
  3. Activar modo de mantenimiento.
  4. Deshabilite la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  5. Rotar las claves de cifrado.
  6. Vaciar la caché.
  7. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  8. Desactive el modo de mantenimiento.

O

  1. Aplique el parche aislado. Nota: Esta versión de la revisión aislada contiene la revisión del 17 de julio de 2024.
  2. Activar modo de mantenimiento.
  3. Deshabilite la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  4. Rotar las claves de cifrado.
  5. Vaciar la caché.
  6. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  7. Desactive el modo de mantenimiento.

Opción 2: para comerciantes que ya han aplicado la actualización de seguridad del 11 de junio de 2024 o el parche aislado lanzado el 28 de junio de 2024

  1. Aplicar revisión publicada el 17 de julio de 2024.
  2. Activar modo de mantenimiento.
  3. Deshabilite la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  4. Rotar las claves de cifrado.
  5. Vaciar la caché.
  6. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  7. Desactive el modo de mantenimiento.

Opción 3: para los comerciantes que ya (1) aplicaron la actualización de seguridad del 11 de junio de 2024 o (2) el parche aislado lanzado el 28 de junio de 2024 y (3) giraron las claves de cifrado

  • Aplicar la revisión publicada el 17 de julio de 2024.

Nota: para asegurarse de que sigue a salvo después de la actualización, también debe girar las claves de cifrado:

  1. Activar modo de mantenimiento.
  2. Deshabilite la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:disable).
  3. Rotar las claves de cifrado.
  4. Habilitar la ejecución de cron (comando de Commerce en la nube: vendor/bin/ece-tools cron:enable).
  5. Desactive el modo de mantenimiento.

En este artículo encontrará cómo implementar el parche aislado para este problema para las versiones actuales y anteriores de Adobe Commerce y Magento Open Source.

Nota: Esta versión de la revisión aislada contiene la revisión del 17 de julio de 2024.

Descripción description

Productos y versiones afectados

Adobe Commerce en la nube, Adobe Commerce on-premise y Magento Open Source:

  • 2.4.7-p1 y anteriores
  • 2.4.6-p6 y anteriores
  • 2.4.5-p8 y anteriores
  • 2.4.4-p9 y anteriores

Resolución resolution

Solución para Adobe Commerce en la nube, software local de Adobe Commerce y Magento Open Source

Para ayudar a resolver la vulnerabilidad de los productos y versiones afectados, debe aplicar el parche VULN-27015 (según su versión) y girar las claves de cifrado.

Detalles de revisión

Detalles de parches aislados

Nota: Esta versión de la revisión aislada contiene la revisión del 17 de julio de 2024.

Utilice los siguientes parches adjuntos, según la versión de Adobe Commerce/Magento Open Source:

Para la versión 2.4.7:

Para las versiones 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5:

Para las versiones 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7:

Para las versiones 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8:

Cómo aplicar el parche aislado y la revisión

Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Solo para comerciantes de Adobe Commerce en la nube: cómo saber si se han aplicado los parches aislados

Teniendo en cuenta que no es posible comprobar fácilmente si el problema se ha corregido, es posible que desee comprobar si el parche aislado de VULN-27015 se ha aplicado correctamente.

Para ello, siga los siguientes pasos y use el archivo VULN-27015-2.4.7_COMPOSER.patch como ejemplo:

  1. Instale la Herramienta Parches de calidad.

  2. Ejecute el comando: vendor/bin/magento-patches -n status |grep "27015\|Status"

  3. Debería ver una salida similar a esta, donde VULN-27015 devuelve el   Aplicado estado:

    table 0-row-6 1-row-6
    ID Título Categoría Origen Estado Detalles
    N/A …/m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch Otros Local Aplicado Tipo de parche: Personalizado

Rotar/cambiar la clave de cifrado después de aplicar el parche

Para obtener instrucciones sobre cómo rotar o cambiar la clave de cifrado después de aplicar el parche, consulte Guía de sistemas de administración: Clave de cifrado en la documentación de la Guía de sistemas de administración de Commerce.

Directrices adicionales para proteger su tienda y girar las claves de cifrado

Para obtener instrucciones adicionales sobre cómo proteger el almacén y girar las claves de cifrado con respecto a CVE-2024-34102, consulte Directrices para proteger el almacén y girar las claves de cifrado: CVE-2024-34102, también en la Base de conocimiento de Adobe Commerce.

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

Lectura relacionada

Habilitar o deshabilitar el modo de mantenimiento en la Guía de instalación de Adobe Commerce

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f