Documentazione

Azione richiesta: aggiornamento critico della sicurezza disponibile per Adobe Commerce (APSB25-88)

Last update: Thu Sep 18 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Aggiornato il 18 settembre 2025

Di recente, i ricercatori indipendenti sulla sicurezza ci hanno informato di un problema in Adobe Commerce in cui un utente malintenzionato potrebbe acquisire gli account dei clienti tramite l’API REST di Commerce (CVE-2025-54236).

Adobe non ha alcuna prova di questa vulnerabilità sfruttata in natura.

Adobe ha rilasciato un bollettino sulla sicurezza che tratta questa vulnerabilità, disponibile qui.

NOTA: Per correggere la vulnerabilità CVE-2025-54236 indicata nel bollettino sulla sicurezza riportato sopra, Adobe ha anche rilasciato un hotfix VULN-32437-2-4-X-patch che risolve CVE-2025-54236.

Applica l'aggiornamento rapido il prima possibile. In caso contrario, si sarà vulnerabili a questo problema di sicurezza e Adobe disporrà di mezzi limitati per contribuire a risolvere il problema.

NOTA: Per i commercianti che utilizzano l'infrastruttura Adobe Commerce on Cloud, sono state distribuite le regole del firewall dell'applicazione Web (WAF) per proteggere gli ambienti dallo sfruttamento di questa vulnerabilità.

Sebbene Adobe abbia implementato le regole WAF per mitigare lo sfruttamento di questa vulnerabilità, affidarsi esclusivamente alle regole WAF non fornisce una protezione completa. Nel modello di responsabilità condivisa, i commercianti sono responsabili della protezione dell'applicazione e dell'applicazione delle patch. WAF è un ulteriore livello di difesa, ma non sostituisce la necessità di applicare hotfix di sicurezza.

È necessario seguire tutte le istruzioni per la correzione fornite in questa sezione, che possono includere l'applicazione di patch, l'aggiornamento di moduli o l'implementazione di altre misure di sicurezza consigliate. In caso contrario, l’ambiente potrebbe rimanere esposto e Adobe potrebbe non essere in grado di fornire assistenza per il ripristino.

NOTA: Per Adobe Commerce sui commercianti Managed Services, il tuo Customer Success Engineer può fornire ulteriori indicazioni sull'applicazione dell'hotfix.

NOTA: Se hai domande o hai bisogno di assistenza, non esitare a contattare il nostro team di supporto.

Come promemoria, puoi trovare gli ultimi aggiornamenti di sicurezza disponibili per Adobe Commerce qui.

Descrizione description

Prodotti e versioni interessati

Adobe Commerce (tutti i metodi di distribuzione):

  • 2.4.9-alfa2 e versioni precedenti
  • 2.4.8-p2 e versioni precedenti
  • 2.4.7-p7 e versioni precedenti
  • 2.4.6-p12 e versioni precedenti
  • 2.4.5-p14 e versioni precedenti
  • 2.4.4-p15 e versioni precedenti

Adobe Commerce B2B:

  • 1.5.3-alfa2 e versioni precedenti
  • 1.5.2-p2 e versioni precedenti
  • 1.4.2-p7 e versioni precedenti
  • 1.3.4-p14 e versioni precedenti
  • 1.3.3-p15 e versioni precedenti

Magento Open Source:

  • 2.4.9-alfa2 e versioni precedenti
  • 2.4.8-p2 e versioni precedenti
  • 2.4.7-p7 e versioni precedenti
  • 2.4.6-p12 e versioni precedenti
  • 2.4.5-p14 e versioni precedenti

Modulo serializzabile attributi personalizzati:

  • versioni da 0.1.0 a 0.4.0

Problema

Un potenziale utente malintenzionato potrebbe acquisire gli account dei clienti in Adobe Commerce tramite l’API REST di Commerce.

Risoluzione resolution

CVE-2025-54236: un potenziale utente malintenzionato potrebbe rilevare gli account cliente tramite l'API REST di Commerce

Per le versioni dei moduli serializzabili per attributi personalizzati:

Questa guida si applica solo se nell'istanza di Adobe Commerce è attualmente installata una versione precedente del modulo serializzabile per attributi personalizzati (magento/out-of-process-custom-attributes module).

NOTA:

  • Se il modulo Serializable Attributi personalizzati (magento/out-of-process-custom-attributes) non è installato nell'ambiente, è possibile ignorare questa istruzione e procedere con l'applicazione della patch hotfix VULN-32437-2-4-X-patch fornita.
  • Se stai già eseguendo la versione più recente del modulo di serializzazione degli attributi personalizzati, non è necessario alcun aggiornamento. Procedi con l'applicazione della patch hotfix VULN-32437-2-4-X-patch fornita.

Per risolvere completamente la vulnerabilità, assicurati di applicare la patch hotfix VULN-32437 fornita.

Versioni applicabili: 0.1.0 - 0.3.0

Aggiornamento del modulo serializzabile per attributi personalizzati alla versione 0.4.0 o successiva.

Per aggiornare il modulo, è possibile eseguire il comando compositore:

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Per le versioni di Adobe Commerce:

  • 2,4,9-alfa1, 2,4,9-alfa2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15

Per le versioni B2B di Adobe Commerce:

  • 1,5,3-alfa1, 1,5,3-alfa2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1
  • 1,5,0
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1.4.1.
  • 1.4.0
  • 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8, 1.3.5-p9, 1.3.5-p10, 1.3.5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15

Per le versioni Magento Open Source:

  • 2,4,9-alfa1, 2,4,9-alfa2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14

Applica il seguente aggiornamento rapido o aggiornamento alla patch di sicurezza più recente:

Come applicare l’hotfix

Decomprimi il file e vedi Come applicare una patch del compositore fornita da Adobe nella Knowledge Base di supporto per le istruzioni.

Solo per gli esercenti di Adobe Commerce on Cloud: come stabilire se le patch sono state applicate

Poiché non è possibile determinare facilmente se il problema è stato corretto, si consiglia di verificare se la patch isolata di CVE-2025-54236 è stata applicata correttamente.

NOTA: Per eseguire questa operazione, eseguire la procedura seguente, utilizzando il file VULN-27015-2.4.7_COMPOSER.patch come esempio:

  1. Installare lo strumento Patch di qualità.

  2. Esegui il comando:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Dovresti vedere un output simile a questo, dove questo esempio VULN-27015 restituisce lo stato Applicato:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Aggiornamenti sicurezza

Aggiornamenti di sicurezza disponibili per Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f