Documentation

Mise à jour de sécurité disponible pour Adobe Commerce - APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Le 10 juin 2025, Adobe a publié une mise à jour de sécurité régulièrement programmée pour Adobe Commerce et Magento Open Source. Cette mise à jour corrige les vulnérabilités critiques et importantes. L’exploitation réussie de ces vulnérabilités peut entraîner le contournement des fonctionnalités de sécurité, la réaffectation des privilèges et l’exécution arbitraire du code.

Vous trouverez plus d’informations dans le Bulletin de sécurité Adobe (APSB25-50) ici.

REMARQUE : assurez-vous que la correction pour CVE-2025-47110 répertoriée dans le bulletin de sécurité ci-dessus peut être appliquée dès que possible. Adobe a également publié un correctif isolé qui résout CVE-2025-47110. Cela permet aux commerçants d’appliquer le correctif de manière isolée, avec moins de risques de retard en raison de problèmes d’intégration potentiels.

Veuillez appliquer les dernières mises à jour de sécurité dès que possible. Si vous ne le faites pas, vous serez vulnérable à ces problèmes de sécurité et Adobe disposera de moyens limités pour résoudre le problème davantage.

Vous pouvez en savoir plus sur notre processus de déploiement de correctifs isolés ici.

REMARQUE : pour les clients Adobe Commerce on Managed Services, votre ingénieur du service client peut fournir des conseils supplémentaires sur l’application du correctif.

REMARQUE : contactez les services d’assistance si vous rencontrez des problèmes lors de l’application du correctif de sécurité/du correctif isolé.

Pour rappel, vous trouverez les dernières mises à jour de sécurité disponibles pour Adobe Commerce ici.

Description description

Produits et versions concernés

Adobe Commerce (toutes les méthodes de déploiement) :

  • 2,4,8
  • 2.4.7-p5 et versions antérieures
  • 2.4.6-p10 et versions antérieures
  • 2.4.5-p12 et versions antérieures
  • 2.4.4-p13 et versions antérieures

Événements

  • Les versions 2.4.8, 2.4.7-p5 et antérieures d’Adobe Commerce, 2.4.6-p10 et antérieures, 2.4.5-p12 et 2.4.4-p13 et antérieures sont affectées par une vulnérabilité de type cross-site scripting (XSS) stocké via l’injection de modèle côté serveur.
  • La version 2.4.8 d’Adobe Commerce est affectée par une vulnérabilité XSS reflétée dans marketplace.magento.com et par un problème de prise de contrôle de compte en un clic (ATO) dans les instances IMS.

Résolution resolution

. CVE-2025-47110 : XSS stocké via l’injection de modèle côté serveur dans Adobe Commerce 2.4.7-p4

Pour les versions d’Adobe Commerce :

  • 2,4,8
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13

Appliquez le correctif isolé suivant ou effectuez une mise à niveau vers le dernier correctif de sécurité.

II. VULN-31547 : XSS reflété dans marketplace.magento.com + problème ATO en un clic affectant les instances IMS

Pour les versions d’Adobe Commerce :

  • 2,4,8

Appliquez le correctif isolé suivant ou effectuez une mise à niveau vers le dernier correctif de sécurité.

Comment appliquer le patch isolé

Décompressez le fichier et consultez Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances d’assistance pour obtenir des instructions.

Pour Adobe Commerce sur les commerçants Cloud uniquement : comment déterminer si les correctifs isolés ont été appliqués

Étant donné qu’il n’est pas possible de vérifier facilement si le problème a été corrigé, vous pouvez vérifier si le correctif isolé CVE-2025-47110 a bien été appliqué.

REMARQUE : Pour ce faire, procédez comme suit, en prenant comme exemple le fichier VULN-27015-2.4.7_COMPOSER.patch :

  1. Installation de l’outil de correctifs de qualité.

  2. Exécutez la commande :

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Vous devriez voir une sortie similaire à celle-ci, où VULN-27015 renvoie le statut Applied :

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Mises à jour de sécurité

Mises à jour de sécurité disponibles pour Adobe Commerce :

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f