Documentatie

Beveiligingsupdate beschikbaar voor Adobe Commerce - APSB25-50

Last update: Fri Aug 22 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Op 10 juni 2025 heeft Adobe een regelmatig geplande beveiligingsupdate uitgebracht voor Adobe Commerce en Magento Open Source. Deze update verhelpt kritieke en belangrijkekwetsbaarheden. Een succesvolle benutting van deze kwetsbaarheden kan leiden tot het omzeilen van beveiligingsfuncties, escalatie van bevoegdheden en het uitvoeren van willekeurige code.

Meer informatie kan in het Bulletin van de Veiligheid van Adobe (APSB25-50) hierworden gevonden.

NOTA : Zorg ervoor dat de sanering voor CVE-2025-47110 die in het veiligheidsbulletin hierboven wordt vermeld, zo snel mogelijk kan worden toegepast, Adobe heeft ook een geïsoleerd flard vrijgegeven dat CVE-2025-47110 oplost. Op deze manier kunnen handelaren de oplossing afzonderlijk toepassen met minder risico op vertraging als gevolg van potentiële integratieproblemen.

gelieve de recentste veiligheidsupdates toe te passen zo spoedig mogelijk. Als u dit niet doet, zult u aan deze veiligheidskwesties kwetsbaar zijn, en Adobe zal beperkte middelen hebben helpen de kwestie verder oplossen.

U kunt meer over lezen ons geïsoleerde proces van de flardplaatsing hier.

NOTA : voor Adobe Commerce op de klanten van Managed Services, kan uw Ingenieur van het Succes van de Klant extra begeleiding verstrekken bij het toepassen van het flard.

NOTA : gelieve de Diensten van de Steun te contacteren als u om het even welke kwesties ontmoet die het veiligheidspatch/Geïsoleerd flard toepassen.

Als herinnering, kunt u de recentste updates van de Veiligheid hier vinden beschikbaar voor Adobe Commerce.

Beschrijving description

Betrokken producten en versies

Adobe Commerce (alle implementatiemethoden):

  • 2.4.8.
  • 2.4.7-p5 en eerdere versies
  • 2.4.6-p10 en eerder
  • 2.4.5-p12 en eerder
  • 2.4.4-p13 en eerder

Problemen

  • Adobe Commerce-versies 2.4.8, 2.4.7-p5 en lager, 2.4.6-p10 en lager, 2.4.5-p12 en lager, en 2.4.4-p13 en lager worden beïnvloed door een opgeslagen XSS-kwetsbaarheid (cross-site scripting) via een server-side sjablooninjectie.
  • Adobe Commerce versie 2.4.8 wordt beïnvloed door een gereflecteerde XSS-kwetsbaarheid in marketplace.magento.com en een probleem met één klik-account-overname (ATO) in IMS-instanties.

Resolutie resolution

I. CVE-2025-47110: Opgeslagen XSS via Sjablooninjectie op de server in Adobe Commerce 2.4.7-p4

Voor Adobe Commerce-versies:

  • 2.4.8.
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2 4.5-p11, 2.4.5-p12
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2 4.4-p11, 2.4.4-p12, 2.4.4-p13

Pas de volgende geïsoleerde patch of upgrade toe op de nieuwste beveiligingspatch.

II. VULN-31547: Gereflecteerde XSS in marketplace.magento.com + één-klik ATO kwestie die IMS instanties beïnvloedt

Voor Adobe Commerce-versies:

  • 2.4.8.

Pas de volgende geïsoleerde patch of upgrade toe op de nieuwste beveiligingspatch.

Hoe wordt de geïsoleerde pleister aangebracht

Pak het dossier uit en zie hoe te om een componentenflard toe te passen die door Adobein onze basis van steunkennis voor instructies wordt verstrekt.

Alleen voor Adobe Commerce op Cloud-handelaren - Hoe kan ik zien of de geïsoleerde patches zijn aangebracht?

Omdat het niet mogelijk is om eenvoudig te controleren of het probleem is opgelost met patches, kunt u beter controleren of de geïsoleerde CVE-2025-47110-patch is toegepast.

NOTA : u kunt dit doen door de volgende stappen te nemen, gebruikend het dossier VULN-27015-2.4.7_COMPOSER.patch als voorbeeld:

  1. installeer het Hulpmiddel van de Patches van de Kwaliteit.

  2. Voer de opdracht uit:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. U zou output gelijkend op dit moeten zien, waar VULN-27015 de Toegepaste status terugkeert:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

de updates van de Veiligheid

Beveiligingsupdates beschikbaar voor Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f