Documentazione

Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Il 10 giugno 2025 Adobe ha rilasciato un aggiornamento della sicurezza regolarmente pianificato per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche e importanti. Il successo dello sfruttamento di queste vulnerabilità potrebbe portare al bypass delle funzionalità di sicurezza, all’escalation dei privilegi e all’esecuzione arbitraria del codice.

Ulteriori informazioni sono disponibili nel Bollettino sulla sicurezza di Adobe (APSB25-50) qui.

NOTA: assicurati che la correzione per CVE-2025-47110 indicata nel bollettino sulla sicurezza in alto possa essere applicata il più rapidamente possibile; inoltre, Adobe ha rilasciato una patch isolata che risolve CVE-2025-47110. Questo consente agli esercenti di applicare la correzione in isolamento con meno rischi di ritardo a causa di potenziali problemi di integrazione.

Applica gli ultimi aggiornamenti di sicurezza il prima possibile. In caso contrario, si sarà vulnerabili a questi problemi di sicurezza e Adobe disporrà di mezzi limitati per contribuire a risolvere ulteriormente il problema.

Ulteriori informazioni sul processo di distribuzione delle patch isolate sono disponibili qui.

NOTA: Per i clienti Adobe Commerce su Managed Services, il tuo Customer Success Engineer può fornire ulteriori indicazioni sull'applicazione della patch.

NOTA: Se riscontri problemi durante l'applicazione della patch di sicurezza/patch isolata, contatta il supporto tecnico.

Come promemoria, puoi trovare gli aggiornamenti di sicurezza più recenti disponibili per Adobe Commerce qui.

Descrizione description

Prodotti e versioni interessati

Adobe Commerce (tutti i metodi di distribuzione):

  • 2.4.8.
  • 2.4.7-p5 e versioni precedenti
  • 2.4.6-p10 e versioni precedenti
  • 2.4.5-p12 e versioni precedenti
  • 2.4.4-p13 e versioni precedenti

Problemi

  • Adobe Commerce versioni 2.4.8, 2.4.7-p5 e precedenti, 2.4.6-p10 e precedenti, 2.4.5-p12 e precedenti e 2.4.4-p13 e precedenti sono interessate da una vulnerabilità cross-site scripting (XSS) memorizzata tramite l’inserimento di modelli lato server.
  • Adobe Commerce versione 2.4.8 è interessato da una vulnerabilità XSS riflessa in marketplace.magento.com e da un problema ATO (account takeover) con un solo clic nelle istanze IMS.

Risoluzione resolution

I. CVE-2025-47110: XSS memorizzato tramite l’inserimento di modelli lato server in Adobe Commerce 2.4.7-p4

Per le versioni di Adobe Commerce:

  • 2.4.8.
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13

Applicare la patch isolata o l'aggiornamento seguente alla patch di sicurezza più recente.

II. VULN-31547: XSS riflesso in marketplace.magento.com + problema ATO con un solo clic che influisce sulle istanze IMS

Per le versioni di Adobe Commerce:

  • 2.4.8.

Applicare la patch isolata o l'aggiornamento seguente alla patch di sicurezza più recente.

Come applicare il cerotto isolato

Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per gli esercenti di Adobe Commerce on Cloud: come stabilire se le patch isolate sono state applicate

Considerando che non è possibile verificare facilmente se il problema è stato corretto, potrebbe essere utile verificare se la patch isolata di CVE-2025-47110 è stata applicata correttamente.

NOTA: A tale scopo, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Dovresti visualizzare un output simile a questo, dove VULN-27015 restituisce lo stato Applicato:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Aggiornamenti sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f