Action requise : mise à jour de sécurité critique disponible pour Adobe Commerce (APSB25-88)
Mise à jour le 18 septembre 2025
Des chercheurs indépendants en sécurité nous ont récemment informés d’un problème dans Adobe Commerce en raison duquel un attaquant pouvait prendre le contrôle de comptes clients via l’API REST Commerce (CVE-2025-54236).
Adobe n’a aucune preuve que cette vulnérabilité soit exploitée dans la nature.
Adobe a publié un bulletin de sécurité traitant de cette vulnérabilité, qui peut être trouvé ici.
REMARQUE : pour corriger la vulnérabilité CVE-2025-54236 répertoriée dans le bulletin de sécurité ci-dessus, Adobe a également publié un correctif VULN-32437-2-4-X-patch qui résout CVE-2025-54236.
Veuillez appliquer le correctif dès que possible. Si vous ne le faites pas, vous serez vulnérable à ce problème de sécurité et Adobe disposera de moyens limités pour y remédier.
REMARQUE : pour les commerçants qui utilisent Adobe Commerce sur des infrastructures cloud, nous avons déployé des règles de pare-feu d’application web (WAF) pour protéger les environnements contre l’exploitation de cette vulnérabilité.
Bien qu’Adobe ait déployé des règles WAF pour atténuer l’exploitation de cette vulnérabilité, se fier uniquement aux règles WAF ne fournit pas une protection complète. Dans le cadre du modèle de responsabilité partagée, les commerçants sont chargés de sécuriser leur application et de s’assurer que les correctifs sont appliqués. Le WAF est un niveau de défense supplémentaire, mais il ne remplace pas la nécessité d’appliquer des correctifs de sécurité.
Vous devez suivre tous les conseils de correction fournis ici, qui peuvent inclure l'application de correctifs, la mise à jour de modules ou l'implémentation d'autres mesures de sécurité recommandées. Si vous ne le faites pas, votre environnement risque d’être exposé et la capacité d’Adobe à contribuer à la résolution de problèmes risque d’être limitée.
REMARQUE : pour Adobe Commerce sur les commerçants Managed Services, votre ingénieur du succès client peut fournir des conseils supplémentaires sur l’application du correctif.
REMARQUE : si vous avez des questions ou avez besoin d’aide, n’hésitez pas à contacter notre équipe d’assistance.
Pour rappel, vous trouverez les dernières mises à jour de sécurité disponibles pour Adobe Commerce ici.
Description description
Produits et versions concernés
Adobe Commerce (toutes les méthodes de déploiement) :
- 2.4.9-alpha2 et versions antérieures
- 2.4.8-p2 et versions antérieures
- 2.4.7-p7 et versions antérieures
- 2.4.6-p12 et versions antérieures
- 2.4.5-p14 et versions antérieures
- 2.4.4-p15 et versions antérieures
Adobe Commerce B2B :
- 1.5.3-alpha2 et versions antérieures
- 1.5.2-p2 et versions antérieures
- 1.4.2-p7 et versions antérieures
- 1.3.4-p14 et versions antérieures
- 1.3.3-p15 et versions antérieures
MAGENTO OPEN SOURCE :
- 2.4.9-alpha2 et versions antérieures
- 2.4.8-p2 et versions antérieures
- 2.4.7-p7 et versions antérieures
- 2.4.6-p12 et versions antérieures
- 2.4.5-p14 et versions antérieures
Module sérialisable d’attributs personnalisés :
- versions 0.1.0 à 0.4.0
Problème
Un attaquant potentiel pourrait prendre le contrôle des comptes clients dans Adobe Commerce par le biais de l’API REST Commerce.
Résolution resolution
CVE-2025-54236 : un attaquant potentiel peut prendre le contrôle des comptes clients par le biais de l’API REST Commerce
Pour les versions du module Sérialisable d’attributs personnalisés :
Ces conseils s’appliquent uniquement si votre instance Adobe Commerce dispose actuellement d’une ancienne version du module sérialisable des attributs personnalisés (module magento/out-of-process-custom-attributes) installé.
NOTE:
- Si le module de sérialisation d’attributs personnalisés (module
magento/out-of-process-custom-attributes) n’est pas installé dans votre environnement, vous pouvez ignorer cette instruction et appliquer le correctif fourni VULN-32437-2-4-X-patch. - Si vous exécutez déjà la dernière version du module sérialisable des attributs personnalisés, aucune mise à niveau n’est nécessaire. Appliquez le correctif fourni VULN-32437-2-4-X-patch.
Veillez à appliquer le correctif fourni VULN-32437 pour remédier entièrement à la vulnérabilité.
Versions applicables : 0.1.0 - 0.3.0
Mettez à jour le module Sérialisable d’attributs personnalisés vers la version 0.4.0 ou ultérieure.
Pour mettre à jour le module, cette commande de compositeur peut être exécutée :
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
Pour les versions d’Adobe Commerce :
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8, 2.4.8-p1, 2.4.8-p2
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
- 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15
Pour les versions B2B d’Adobe Commerce :
- 1.5.3-alpha1, 1.5.3-alpha2
- 1.5.2, 1.5.2-p1, 1.5.2-p2
- 1.5.1
- 1.5.0
- 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
- 1,4,1
- 1.4.0
- 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8, 1.3.5-p9, 1.3.5-p10, 1.3.5-p12
- 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
- 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15
Pour les versions de Magento Open Source :
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8, 2.4.8-p1, 2.4.8-p2
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
Appliquez le correctif ou la mise à niveau suivant au dernier correctif de sécurité :
Application du correctif
Décompressez le fichier et consultez Comment appliquer un correctif de compositeur fourni par Adobe dans notre base de connaissances d’assistance pour obtenir des instructions.
Pour Adobe Commerce sur les commerçants cloud uniquement : comment déterminer si des correctifs ont été appliqués
Étant donné qu’il n’est pas possible de déterminer facilement si le problème a été corrigé, il est recommandé de vérifier si le correctif isolé CVE-2025-54236 a bien été appliqué.
REMARQUE : pour ce faire, procédez comme suit, en prenant comme exemple le VULN-27015-2.4.7_COMPOSER.patch de fichier :
-
Exécutez la commande :
vendor/bin/magento-patches -n status | grep "27015\|Status" -
Vous devriez voir une sortie similaire à celle-ci, où cet exemple VULN-27015 renvoie le statut Applied :
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Mises à jour de sécurité
Mises à jour de sécurité disponibles pour Adobe Commerce :