Atualização de segurança disponível para o Adobe Commerce - APSB25-50
Em 10 de junho de 2025, a Adobe lançou uma atualização de segurança programada regularmente para o Adobe Commerce e o Magento Open Source. Esta atualização soluciona vulnerabilidades críticas e importantes. A exploração bem-sucedida dessas vulnerabilidades pode levar ao desvio de recursos de segurança, escalonamento de privilégios e execução arbitrária de código.
Mais informações podem ser encontradas no Boletim de Segurança do Adobe (APSB25-50) aqui.
OBSERVAÇÃO: certifique-se de que a correção para o CVE-2025-47110 listada no boletim de segurança acima possa ser aplicada o mais rápido possível. A Adobe também lançou um patch isolado que resolve o CVE-2025-47110. Isso permite que os comerciantes apliquem a correção de forma isolada, com menos riscos de atraso devido a possíveis problemas de integração.
Aplique as atualizações de segurança mais recentes assim que possível. Se você não fizer isso, estará vulnerável a esses problemas de segurança, e a Adobe terá meios limitados para ajudar a corrigir o problema ainda mais.
Você pode ler mais sobre nosso processo isolado de implantação de patch aqui.
OBSERVAÇÃO: Para clientes do Adobe Commerce on Managed Services, o seu engenheiro de sucesso do cliente pode fornecer orientação adicional sobre como aplicar o patch.
OBSERVAÇÃO: Entre em contato com os Serviços de Suporte se encontrar problemas ao aplicar o patch de segurança/patch isolado.
Lembrando que você pode encontrar as atualizações de Segurança mais recentes disponíveis para o Adobe Commerce aqui.
Descrição description
Produtos e versões afetados
Adobe Commerce (todos os métodos de implantação):
- 2.4.8
- 2.4.7-p5 e anterior
- 2.4.6-p10 e anterior
- 2.4.5-p12 e anterior
- 2.4.4-p13 e anterior
Problemas
- As versões 2.4.8, 2.4.7-p5 e anteriores do Adobe Commerce, 2.4.6-p10 e anteriores, 2.4.5-p12 e anteriores, e 2.4.4-p13 e anteriores são afetadas por uma vulnerabilidade de script entre sites (XSS) armazenada por meio da injeção do modelo do lado do servidor.
- A versão 2.4.8 do Adobe Commerce é afetada por uma vulnerabilidade XSS refletida em marketplace.magento.com e um problema de aquisição de conta com um clique (ATO) em instâncias do IMS.
Resolução resolution
I CVE-2025-47110: XSS armazenado por injeção de modelo do lado do servidor no Adobe Commerce 2.4.7-p4
Para versões do Adobe Commerce:
- 2.4.8
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12
- 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13
Aplique o seguinte patch isolado ou atualize para o patch de segurança mais recente.
II. VULN-31547: XSS refletido em marketplace.magento.com + problema ATO de um clique que afeta instâncias IMS
Para versões do Adobe Commerce:
- 2.4.8
Aplique o seguinte patch isolado ou atualize para o patch de segurança mais recente.
Como aplicar o patch Isolado
Descompacte o arquivo e veja Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.
Somente para Adobe Commerce em comerciantes na nuvem - Como saber se os patches isolados foram aplicados
Considerando que não é possível verificar facilmente se o problema foi corrigido, talvez você queira verificar se o patch isolado do CVE-2025-47110 foi aplicado com sucesso.
OBSERVAÇÃO: Você pode fazer isso seguindo as etapas abaixo, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:
-
Execute o comando:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
Você deve ver uma saída semelhante a esta, onde VULN-27015 retorna o status Aplicado:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce: