Documentación

Acción necesaria: actualización de seguridad crítica disponible para Adobe Commerce (APSB25-88)

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Actualizado el 18 de septiembre de 2025

Recientemente, investigadores de seguridad independientes nos informaron de un problema en Adobe Commerce en el que un atacante podía hacerse cargo de las cuentas de los clientes a través de la API de REST de Commerce (CVE-2025-54236).

Adobe no tiene pruebas de que esta vulnerabilidad se esté explotando en su hábitat natural.

Adobe ha publicado un boletín de seguridad que aborda esta vulnerabilidad, que se puede encontrar aquí.

NOTA: Para remediar la vulnerabilidad CVE-2025-54236 que aparece en el boletín de seguridad anterior, Adobe también ha lanzado una revisión VULN-32437-2-4-X-patch que resuelve CVE-2025-54236.

Aplique la revisión lo antes posible. Si no lo hace, será vulnerable a este problema de seguridad y Adobe tendrá medios limitados para remediar el problema.

NOTA: Para los comerciantes que usan Adobe Commerce en la infraestructura de la nube, hemos implementado reglas de firewall de aplicaciones web (WAF) para proteger los entornos contra la explotación de esta vulnerabilidad.

Aunque Adobe ha implementado reglas de WAF para mitigar la explotación de esta vulnerabilidad, depender únicamente de las reglas de WAF no proporciona una protección completa. En el modelo de responsabilidad compartida 1}, los comerciantes son responsables de proteger su aplicación y garantizar que se apliquen los parches. ​ WAF es un nivel adicional de defensa, pero no reemplaza la necesidad de aplicar revisiones de seguridad.

Debe seguir todas las directrices de corrección que se proporcionan aquí, que pueden incluir la aplicación de parches, la actualización de módulos o la implementación de otras medidas de seguridad recomendadas. Si no lo hace, su entorno puede quedar expuesto y se limita la capacidad de Adobe para ayudarle con la corrección.

NOTA: Para Adobe Commerce en comerciantes de Managed Services, su ingeniero de éxito del cliente puede proporcionar orientación adicional sobre cómo aplicar la revisión.

NOTA: Si tiene alguna pregunta o necesita ayuda, no dude en ponerse en contacto con nuestro equipo de soporte.

Como recordatorio, puede encontrar las últimas actualizaciones de seguridad disponibles para Adobe Commerce aquí.

Descripción description

Productos y versiones afectados

Adobe Commerce (todos los métodos de implementación):

  • 2.4.9-alpha2 y anteriores
  • 2.4.8-p2 y anteriores
  • 2.4.7-p7 y anteriores
  • 2.4.6-p12 y anteriores
  • 2.4.5-p14 y anteriores
  • 2.4.4-p15 y anteriores

Adobe Commerce B2B:

  • 1.5.3-alpha2 y anteriores
  • 1.5.2-p2 y anteriores
  • 1.4.2-p7 y anteriores
  • 1.3.4-p14 y anteriores
  • 1.3.3-p15 y anteriores

Magento Open Source:

  • 2.4.9-alpha2 y anteriores
  • 2.4.8-p2 y anteriores
  • 2.4.7-p7 y anteriores
  • 2.4.6-p12 y anteriores
  • 2.4.5-p14 y anteriores

Módulo serializable de atributos personalizados:

  • versiones 0.1.0 a 0.4.0

Problema

Un atacante potencial podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de REST de Commerce.

Resolución resolution

CVE-2025-54236: un atacante potencial podría hacerse cargo de las cuentas de los clientes a través de la API REST de Commerce

Para versiones de módulo serializables de Atributos personalizados:

Esta guía solo se aplica si la instancia de Adobe Commerce tiene actualmente instalada una versión anterior del módulo serializable de atributos personalizados (módulo magento/out-of-process-custom-attributes).

NOTA:

  • Si el módulo serializable de atributos personalizados (magento/out-of-process-custom-attributes) no está instalado en su entorno, puede ignorar esta instrucción y continuar con la aplicación de la revisión VULN-32437-2-4-X-patch proporcionada.
  • Si ya está ejecutando la última versión del módulo serializable de atributos personalizados, no es necesaria ninguna actualización. Continúe con la aplicación de la revisión VULN-32437-2-4-X-patch proporcionada.

Asegúrese de aplicar la revisión VULN-32437 proporcionada para remediar completamente la vulnerabilidad.

Versiones aplicables: 0.1.0 - 0.3.0

Actualizar el módulo serializable Atributos personalizados a la versión 0.4.0 o superior.

Para actualizar el módulo, se puede ejecutar este comando composer:

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Para las versiones de Adobe Commerce:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2,4,5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15

Para las versiones B2B de Adobe Commerce:

  • 1.5.3-alfa1, 1.5.3-alfa2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1
  • 1.5.0
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1.4.1
  • 1.4.0
  • 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8, 1.3.5-p9, 1.3.5-p10, 1.3.5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1,3,4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1,3,3-p14, 1,3,3-p15

Para las versiones de Magento Open Source:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2,4,5-p14

Aplique la siguiente revisión o actualización al parche de seguridad más reciente:

Cómo aplicar la revisión

Descomprima el archivo y vea Cómo aplicar un parche del compositor proporcionado por Adobe en nuestra base de conocimiento de asistencia para obtener instrucciones.

Solo para comerciantes de Adobe Commerce en la nube: cómo saber si se han aplicado los parches

Teniendo en cuenta que no es posible determinar fácilmente si el problema se ha corregido, se recomienda comprobar si el parche aislado de CVE-2025-54236 se ha aplicado correctamente.

NOTA: Para ello, siga los siguientes pasos y use el archivo VULN-27015-2.4.7_COMPOSER.patch como ejemplo:

  1. Instalar la herramienta Parches de calidad.

  2. Ejecute el comando:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Debería ver resultados similares a este, donde este ejemplo VULN-27015 devuelve el estado Aplicado:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Actualizaciones de seguridad

Actualizaciones de seguridad disponibles para Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f