Mise à jour de sécurité disponible pour Adobe Commerce - APSB25-08
Le 11 février 2025, Adobe a publié une mise à jour de sécurité régulièrement programmée pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige les vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités peut entraîner l’exécution de code arbitraire, le contournement des fonctionnalités de sécurité et la réaffectation des privilèges. Vous trouverez plus d’informations dans le Bulletin de sécurité Adobe (APSB25-08) ici.
Notes:
Afin de garantir que la correction pour CVE-2025-24434, répertoriée dans le bulletin de sécurité ci-dessus, peut être appliquée aussi rapidement que possible, Adobe a également publié un correctif isolé qui résout CVE-2025-24434. Cela permet aux commerçants d’appliquer le correctif de manière isolée, avec moins de risques de retard en raison de problèmes d’intégration potentiels.
Veuillez appliquer les dernières mises à jour de sécurité dès que possible. Si vous ne le faites pas, vous serez vulnérable à ces problèmes de sécurité et Adobe disposera de moyens limités pour contribuer à les résoudre.
Contactez les services d’assistance si vous rencontrez des problèmes lors de l’application du correctif de sécurité/du correctif isolé.
Description description
Produits et versions concernés
Adobe Commerce sur les infrastructures cloud, Adobe Commerce sur site et Magento Open Source :
- 2.4.8-beta1 et versions antérieures
- 2.4.7-p3 et versions antérieures
- 2.4.6-p8 et versions antérieures
- 2.4.5-p10 et versions antérieures
- 2.4.4-p11 et versions antérieures
Résolution resolution
Pour les logiciels Adobe Commerce on Cloud, Adobe Commerce on-premise et Magento Open Source
Remarque : ce problème est résolu par la dernière mise à jour des correctifs cloud. Toute tentative d’application du correctif isolé lorsque le correctif est déjà en place à partir de la mise à jour des correctifs cloud peut entraîner des échecs d’installation.
Pour aider à résoudre la vulnérabilité des produits et versions affectés, vous devez appliquer le correctif isolé CVE-2025-24434, en fonction de votre version d’Adobe Commerce/Magento Open Source.
Détails du correctif isolé
Utilisez les correctifs isolés ci-joints suivants, en fonction de votre version d’Adobe Commerce/Magento Open Source :
Pour la version 2.4.8-beta1
Pour les versions 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3
Pour les versions 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8
Pour les versions 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10
Pour les versions 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11
Comment appliquer le patch isolé
Décompressez le fichier et consultez Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances d’assistance pour obtenir des instructions.
Pour Adobe Commerce sur les commerçants Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués
Comme il n’est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé CVE-2025-24434 a bien été appliqué.
Pour ce faire, procédez comme suit, en utilisant le fichier VULN-27015-2.4.7_COMPOSER.patch à titre d’exemple :
-
Exécutez la commande :
vendor/bin/magento-patches -n status |grep "27015\|Status" -
Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie le statut Applied :
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :