Aggiornamento di sicurezza disponibile per Adobe Commerce - APSB25-08
L’11 febbraio 2025, Adobe ha rilasciato un aggiornamento sulla sicurezza regolarmente pianificato per Adobe Commerce e Magento Open Source. Questo aggiornamento risolve vulnerabilità critiche, importanti e moderate. Il successo dello sfruttamento di queste vulnerabilità potrebbe portare all’esecuzione arbitraria del codice, al bypass della funzione di sicurezza e all’escalation dei privilegi. Ulteriori informazioni sono disponibili nel Bollettino sulla sicurezza di Adobe (APSB25-08) qui.
Note:
Per garantire che la correzione per CVE-2025-24434, elencata nel bollettino sulla sicurezza in alto, possa essere applicata il più rapidamente possibile, Adobe ha anche rilasciato una patch isolata che risolve CVE-2025-24434. Questo consente agli esercenti di applicare la correzione in isolamento con meno rischi di ritardo a causa di potenziali problemi di integrazione.
Applica gli ultimi aggiornamenti di sicurezza il prima possibile. In caso contrario, sarai vulnerabile a questi problemi di sicurezza e Adobe disporrà di mezzi limitati per contribuire a risolvere ulteriormente il problema.
In caso di problemi durante l'applicazione della patch di sicurezza o della patch isolata, contattare il supporto tecnico.
Descrizione description
Prodotti e versioni interessati
Adobe Commerce su infrastruttura cloud, Adobe Commerce on-premise e Magento Open Source:
- 2.4.8-beta1 e versioni precedenti
- 2.4.7-p3 e versioni precedenti
- 2.4.6-p8 e versioni precedenti
- 2.4.5-p10 e versioni precedenti
- 2.4.4-p11 e versioni precedenti
Risoluzione resolution
Per Adobe Commerce on Cloud, Adobe Commerce on-premise e il software Magento Open Source
Nota: questo problema è stato risolto con l'ultimo aggiornamento di patch cloud. Il tentativo di applicare la patch isolata quando la correzione è già in atto dall’aggiornamento di Cloud-patches può causare errori di installazione.
Per risolvere la vulnerabilità dei prodotti e delle versioni interessati, è necessario applicare la patch isolata CVE-2025-24434, a seconda della versione di Adobe Commerce/Magento Open Source in uso.
Dettagli patch isolata
Utilizza le seguenti patch isolate allegate, a seconda della versione di Adobe Commerce/Magento Open Source in uso:
Per la versione 2.4.8-beta1
Per le versioni 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3
Per le versioni 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8
Per le versioni 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10
Per le versioni 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11
Come applicare il cerotto isolato
Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.
Solo per gli esercenti di Adobe Commerce on Cloud: come stabilire se le patch isolate sono state applicate
Considerando che non è possibile verificare facilmente se il problema è stato corretto, potrebbe essere utile verificare se la patch isolata CVE-2025-24434 è stata applicata correttamente.
Per eseguire questa operazione, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:
-
Esegui il comando:
vendor/bin/magento-patches -n status |grep "27015\|Status" -
Dovresti visualizzare un output simile a questo, dove VULN-27015 restituisce lo stato Applicato:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║
Aggiornamenti di sicurezza
Aggiornamenti di sicurezza disponibili per Adobe Commerce: