Ação necessária: atualização de segurança crítica disponível para o Adobe Commerce (APSB25-88)
Atualizado em 18 de setembro de 2025
Recentemente, fomos informados por pesquisadores de segurança independentes sobre um problema no Adobe Commerce em que um invasor poderia assumir as contas do cliente por meio da API REST do Commerce (CVE-2025-54236).
O Adobe não tem evidências de que essa vulnerabilidade seja explorada na natureza.
A Adobe lançou um boletim de segurança abordando essa vulnerabilidade, que pode ser encontrado aqui.
OBSERVAÇÃO: Para corrigir a vulnerabilidade CVE-2025-54236 listada no boletim de segurança acima, a Adobe também lançou um hotfix VULN-32437-2-4-X-patch que resolve CVE-2025-54236.
Aplique o hotfix o mais rápido possível. Se você não fizer isso, estará vulnerável a esse problema de segurança, e a Adobe terá meios limitados para ajudar a corrigir.
OBSERVAÇÃO: Para comerciantes que usam a infraestrutura do Adobe Commerce na Nuvem, implantamos regras de firewall de aplicativo da Web (WAF) para proteger ambientes contra a exploração dessa vulnerabilidade.
Embora a Adobe tenha implantado regras do WAF para atenuar a exploração dessa vulnerabilidade, depender exclusivamente das regras do WAF não fornece proteção abrangente. No modelo de responsabilidade compartilhada, os comerciantes são responsáveis por proteger seus aplicativos e garantir que os patches sejam aplicados. O WAF é uma camada adicional de defesa, mas não substitui a necessidade de aplicar hotfixes de segurança.
Você deve seguir todas as orientações de remediação fornecidas aqui, que podem incluir a aplicação de patches, a atualização de módulos ou a implementação de outras medidas de segurança recomendadas. Caso contrário, seu ambiente poderá ficar exposto e limitar a capacidade da Adobe de ajudar na correção.
OBSERVAÇÃO: para o Adobe Commerce em estabelecimentos comerciais da Managed Services, o seu engenheiro de sucesso do cliente pode fornecer orientações adicionais sobre como aplicar o hotfix.
OBSERVAÇÃO: Se tiver dúvidas ou precisar de assistência, entre em contato com nossa equipe de suporte.
Lembrando que você pode encontrar as atualizações de Segurança mais recentes disponíveis para o Adobe Commerce aqui.
Descrição description
Produtos e versões afetados
Adobe Commerce (todos os métodos de implantação):
- 2.4.9-alpha2 e anterior
- 2.4.8-p2 e anterior
- 2.4.7-p7 e anterior
- 2.4.6-p12 e anterior
- 2.4.5-p14 e anterior
- 2.4.4-p15 e anterior
Adobe Commerce B2B:
- 1.5.3-alpha2 e anterior
- 1.5.2-p2 e anterior
- 1.4.2-p7 e anterior
- 1.3.4-p14 e anterior
- 1.3.3-p15 e anterior
Magento Open Source:
- 2.4.9-alpha2 e anterior
- 2.4.8-p2 e anterior
- 2.4.7-p7 e anterior
- 2.4.6-p12 e anterior
- 2.4.5-p14 e anterior
Módulo serializável de atributos personalizados:
- versões 0.1.0 a 0.4.0
Problema
Um possível invasor poderia assumir as contas do cliente no Adobe Commerce por meio da API REST do Commerce.
Resolução resolution
CVE-2025-54236: o possível invasor pode assumir as contas do cliente por meio da API REST do Commerce
Para versões de módulos Serializáveis de atributos personalizados:
Estas orientações se aplicam somente se a instância do Adobe Commerce tiver uma versão mais antiga do módulo Serializável de Atributos Personalizados (módulo magento/out-of-process-custom-attributes) instalada.
OBSERVAÇÃO:
- Se o módulo Serializável de Atributos Personalizados (módulo
magento/out-of-process-custom-attributes) não estiver instalado em seu ambiente, você poderá desconsiderar essa instrução e prosseguir com a aplicação do patch de hotfix fornecido VULN-32437-2-4-X-patch. - Se você já estiver executando a versão mais recente do módulo Serializável de atributos personalizados, nenhuma atualização será necessária. Continue aplicando o patch de hotfix fornecido VULN-32437-2-4-X-patch.
Aplique o patch de hotfix fornecido VULN-32437 para corrigir totalmente a vulnerabilidade.
Versões aplicáveis: 0.1.0 - 0.3.0
Atualize o módulo Serializável de atributos personalizados para a versão 0.4.0 ou superior.
Para atualizar o módulo, este comando de compositor pode ser executado:
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
Para versões do Adobe Commerce:
- 2,4,9-alfa1, 2,4,9-alfa2
- 2.4.8, 2.4.8-p1, 2.4.8-p2
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
- 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10, 2.4.4-p11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15
Para versões B2B do Adobe Commerce:
- 1. 5. 3- alfa1, 1. 5. 3- alfa2
- 1.5.2, 1.5.2-p1, 1.5.2-p2
- 1.5.1
- 1.5.0
- 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
- 1.4.1
- 1.4.0
- 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8,1.3.5-p9, 1.3.5-p10, 1.3.5-p12
- 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10, 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
- 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15
Para versões do Magento Open Source:
- 2,4,9-alfa1, 2,4,9-alfa2
- 2.4.8, 2.4.8-p1, 2.4.8-p2
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.4.6-p11, 2.4.6-p12
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10, 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
Aplique o seguinte hotfix ou atualize para o patch de segurança mais recente:
Como aplicar o hotfix
Descompacte o arquivo e veja Como aplicar um patch de compositor fornecido pelo Adobe em nossa base de dados de suporte para obter instruções.
Somente para comerciantes do Adobe Commerce na nuvem - Como saber se os patches foram aplicados
Considerando que não é possível determinar facilmente se o problema foi corrigido, recomenda-se verificar se o patch isolado do CVE-2025-54236 foi aplicado com sucesso.
OBSERVAÇÃO: Para fazer isso, siga estas etapas, usando o arquivo VULN-27015-2.4.7_COMPOSER.patch como exemplo:
-
Execute o comando:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
Você deve ver uma saída semelhante a esta, onde este exemplo VULN-27015 retorna o status Aplicado:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Atualizações de segurança
Atualizações de segurança disponíveis para o Adobe Commerce: