Documentatie

Actie vereist: kritieke beveiligingsupdate beschikbaar voor Adobe Commerce (APSB25-88)

Last update: Tue Oct 14 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Bijgewerkt op 18 september 2025

Onlangs hebben onafhankelijke beveiligingsonderzoekers ons gewezen op een probleem in Adobe Commerce waarbij een aanvaller klantenaccounts kan overnemen via de Commerce REST API (CVE-2025-54236).

Adobe heeft geen aanwijzingen dat van deze kwetsbaarheid in het wild misbruik wordt gemaakt.

Adobe heeft een veiligheidsbulletin vrijgegeven dat deze kwetsbaarheid richt, die ​ hier ​ kan worden gevonden.

NOTA : om kwetsbaarheid CVE-2025-54236 te verhelpen die in het veiligheidsbulletin hierboven wordt vermeld, heeft Adobe ook a ​ hotfix VULN-32437-2-4-x-flard ​ vrijgegeven die CVE-2025-542 oplost 36.

gelieve toe te passen hotfix zo spoedig mogelijk. Als u dit niet doet, zult u aan dit veiligheidsprobleem kwetsbaar zijn, en Adobe zal beperkte middelen hebben helpen oplossen.

NOTA : voor handelaren die Adobe Commerce op de infrastructuur van de Wolk gebruiken, hebben wij de regels van de de toepassingsfirewall van het Web (WAF) opgesteld om milieu's tegen de exploitatie van deze kwetsbaarheid te beschermen.

Hoewel Adobe WAF-regels heeft geïmplementeerd om de exploitatie van deze kwetsbaarheid te beperken, biedt het vertrouwen uitsluitend op WAF-regels geen uitgebreide bescherming. Onder het ​ gedeelde verantwoordelijkheidsmodel ​, zijn de handelaren verantwoordelijk voor het beveiligen van hun toepassing en het verzekeren van flarden worden toegepast. De WAF is een extra verdedigingslaag, maar het vervangt niet de noodzaak om veiligheidshotfixes toe te passen.

U moet alle hier verstrekte saneringsrichtlijnen volgen, die het toepassen van flarden, het bijwerken modules, of het uitvoeren van andere geadviseerde veiligheidsmaatregelen kunnen omvatten. Als u dit niet doet, blijft uw omgeving mogelijk open en wordt het vermogen van Adobe om hulp te bieden bij het herstellen beperkt.

NOTA : voor Adobe Commerce op de verkopers van Managed Services, kan uw Ingenieur van het Succes van de Klant extra begeleiding verstrekken bij het toepassen van hotfix.

NOTA : als u om het even welke vragen hebt of hulp nodig hebt, gelieve niet te aarzelen om ​ ons steunteam ​ te contacteren.

Als herinnering, kunt u de recentste updates van de Veiligheid beschikbaar voor Adobe Commerce ​ hier ​ vinden.

Beschrijving description

Betrokken producten en versies

Adobe Commerce (alle implementatiemethoden):

  • 2.4.9-alpha2 en eerder
  • 2.4.8-p2 en lager
  • 2.4.7-p7 en eerdere versies
  • 2.4.6-p12 en eerder
  • 2.4.5-p14 en eerder
  • 2.4.4-p15 en eerder

Adobe Commerce B2B:

  • 1.5.3-alpha2 en lager
  • 1.5.2-p2 en lager
  • 1.4.2-p7 en eerder
  • 1.3.4-p14 en eerder
  • 1.3.3-p15 en eerder

Magento Open Source:

  • 2.4.9-alpha2 en eerder
  • 2.4.8-p2 en lager
  • 2.4.7-p7 en eerdere versies
  • 2.4.6-p12 en eerder
  • 2.4.5-p14 en eerder

Module Aangepaste kenmerken serialiseerbaar:

  • versies 0.1.0 tot 0.4.0

Probleem

Een potentiële aanvaller kan klantenaccounts overnemen in Adobe Commerce via de Commerce REST API.

Resolutie resolution

CVE-2025-54236 : de potentiële aanvaller kon klantenrekeningen door Commerce REST API overnemen

Voor de Serializable moduleversies van Attributen van de Douane:

Deze richtlijn is slechts van toepassing als uw instantie van Adobe Commerce momenteel een oudere versie van de geïnstalleerde de Serializable module van Attributen van de Douane (magento/out-of-process-custom-attributes module) heeft.

NOTA :

  • Als de Serializable module van Attributen van de Douane (magento/out-of-process-custom-attributes module) niet in uw milieu wordt geïnstalleerd, kunt u deze instructie negeren en met het toepassen van het verstrekte hotfix flard ​ VULN-32437-2-4-x-flard ​ te werk gaan.
  • Als u reeds de recentste versie van de Serializable module van Attributen van de Douane in werking stelt, is geen verbetering noodzakelijk. Ga met het toepassen van het verstrekte hotfix flard ​ VULN-32437-2-4-x-flard ​ te werk.

Zorg ervoor om de verstrekte hotfix ​ VULN-32437 ​ toe te passen om de kwetsbaarheid volledig te verhelpen.

Toepasselijke versies: 0.1.0 - 0.3.0

Werk de Serializable module van Attributen van de Douane aan versie 0.4.0 of hoger bij.

Om de module bij te werken, kan dit composer bevel worden uitgevoerd:

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

Voor Adobe Commerce-versies:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.2 4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2 4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2 4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15.

Voor Adobe Commerce B2B-versies:

  • 1.5.3-alpha1, 1.5.3-alpha2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1.
  • 1.5.0.
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1.4.1.
  • 1.4.0.
  • 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8,1.3.5-p9, 1.3.5-p10, 3.3.5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p1 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p1 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15

Voor Magento Open Source-versies:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.2 4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2 4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14

Pas de volgende hotfix of upgrade toe op de nieuwste beveiligingspatch:

De hotfix toepassen

Pak het dossier uit en zie ​ hoe te om een componentenflard toe te passen die door Adobe ​ in onze basis van steunkennis voor instructies wordt verstrekt.

Alleen voor Adobe Commerce op Cloud-handelaren - Hoe kan ik zien of er patches zijn aangebracht?

Aangezien het niet mogelijk is om gemakkelijk te bepalen als de kwestie werd gepatenteerd, adviseert men dat u controleert of de CVE-2025-54236 geïsoleerde flard met succes is toegepast.

NOTA : U kunt dit doen door de volgende stappen te nemen, gebruikend het dossier VULN-27015-2.4.7_COMPOSER.patch als voorbeeld :

  1. ​ installeer het Hulpmiddel van de Patches van de Kwaliteit ​.

  2. Voer de opdracht uit:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. U zou output gelijkend op dit moeten zien, waar dit voorbeeld VULN-27015 keert de Toegepaste status terug:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

de updates van de Veiligheid

Beveiligingsupdates beschikbaar voor Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f