Atualização de segurança disponível para o Adobe Commerce - APSB25-08
Em 11 de fevereiro de 2025, a Adobe lançou uma atualização de segurança programada regularmente para o Adobe Commerce e o Magento Open Source. Esta atualização soluciona vulnerabilidades críticas, importantes e moderadas. A exploração bem-sucedida dessas vulnerabilidades pode levar à execução arbitrária de código, ao desvio de recursos de segurança e à escalada de privilégios. Mais informações podem ser encontradas no Boletim de Segurança do Adobe (APSB25-08) aqui.
Notas:
Para ajudar a garantir que a correção para o CVE-2025-24434, listada no boletim de segurança acima, possa ser aplicada o mais rápido possível, a Adobe também lançou um patch isolado que resolve o CVE-2025-24434. Isso permite que os comerciantes apliquem a correção de forma isolada, com menos riscos de atraso devido a possíveis problemas de integração.
Aplique as atualizações de segurança mais recentes assim que possível. Se você não fizer isso, estará vulnerável a esses problemas de segurança, e a Adobe terá meios limitados para ajudar a corrigir o problema ainda mais.
Entre em contato com os Serviços de suporte se encontrar problemas ao aplicar o patch de segurança/patch isolado.
Descrição description
Produtos e versões afetados
Infraestrutura do Adobe Commerce na nuvem, Adobe Commerce no local e Magento Open Source:
- 2.4.8-beta1 e anterior
- 2.4.7-p3 e anterior
- 2.4.6-p8 e anterior
- 2.4.5-p10 e anterior
- 2.4.4-p11 e anterior
Resolução resolution
Para software Adobe Commerce na nuvem, Adobe Commerce no local e Magento Open Source
Observação: esse problema foi resolvido pela última atualização de patches de nuvem. Tentar aplicar o patch isolado quando a correção já estiver em vigor na atualização de patches em nuvem pode causar falhas de instalação.
Para ajudar a resolver a vulnerabilidade dos produtos e versões afetados, você deve aplicar o patch Isolado CVE-2025-24434, dependendo da versão do Adobe Commerce/Magento Open Source.
Detalhes do patch isolado
Use os seguintes patches isolados anexados, dependendo da sua versão do Adobe Commerce/Magento Open Source:
Para a versão 2.4.8-beta1
Para as versões 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3
Para as versões 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8
Para as versões 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10
Para as versões 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11
Como aplicar o patch Isolado
Descompacte o arquivo e veja Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.
Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados
Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se o patch Isolado do CVE-2025-24434 foi aplicado com sucesso.
Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:
-
Execute o comando:
vendor/bin/magento-patches -n status |grep "27015\|Status" -
Você deve ver uma saída semelhante a esta, onde VULN-27015 retorna o status Aplicado:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom ║
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce: