Säkerhetsuppdatering för Adobe Commerce - APSB25-50
Den 10 juni 2025 släppte Adobe en regelbundet schemalagd säkerhetsuppdatering för Adobe Commerce och Magento Open Source. Uppdateringen åtgärdar sårbarheter som klassas som critical och important. Ett lyckat utnyttjande av dessa säkerhetsluckor kan leda till att säkerhetsfunktioner kringgås, eskalering av behörigheter och exekvering av godtycklig kod.
Mer information finns i Adobe säkerhetsbulletin (APSB25-50) här.
OBS! Kontrollera att reparationen för CVE-2025-47110 som listas i säkerhetsbulletinen ovan kan utföras så snart som möjligt. Adobe har även släppt en isolerad korrigering som åtgärdar CVE-2025-47110. På så sätt kan handlare tillämpa korrigeringen separat med färre risker för fördröjning på grund av potentiella integreringsproblem.
Använd de senaste säkerhetsuppdateringarna så snart som möjligt. Om du inte gör det kommer du att vara sårbar för dessa säkerhetsproblem, och Adobe har begränsade möjligheter att åtgärda problemet ytterligare.
Du kan läsa mer om vår isolerade process för distribution av korrigeringar här.
Obs!: För kunder som använder Adobe Commerce på Managed Services kan din Customer Success Engineer ge ytterligare vägledning om hur korrigeringen tillämpas.
OBS: Kontakta supporttjänsterna om du råkar ut för problem med att tillämpa säkerhetsuppdateringen/den isolerade korrigeringen.
Som påminnelse hittar du de senaste säkerhetsuppdateringarna för Adobe Commerce här.
Beskrivning description
Berörda produkter och versioner
Adobe Commerce (alla distributionsmetoder):
- 2.4.8
- 2.4.7-p5 och tidigare
- 2.4.6-p10 och tidigare versioner
- 2.4.5-p12 och tidigare versioner
- 2.4.4-p13 och tidigare versioner
Problem
- Adobe Commerce-versionerna 2.4.8, 2.4.7-p5 och tidigare, 2.4.6-p10 och tidigare, 2.4.5-p12 och tidigare samt 2.4.4-p13 och tidigare versioner påverkas av en lagrad XSS-säkerhetslucka (cross-site scripting) via mallinmatning på serversidan.
- Adobe Commerce version 2.4.8 påverkas av en XSS-säkerhetslucka som återspeglas i marketplace.magento.com och ett ATO-problem (account takeover) i IMS-instanser.
Upplösning resolution
I. CVE-2025-47110: Lagrad XSS via mallinmatning på serversidan i Adobe Commerce 2.4.7-p4
För Adobe Commerce:
- 2.4.8
- 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5
- 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9, 2.4.6-p10
- 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10 0.4.5-p11, 2.4.5-p12
- 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10 2.4.4-p11, 2.4.4-p12, 2.4.4-p13
Använd följande isolerade patch eller uppgradering till den senaste säkerhetspatchen.
II. VULN-31547: Speglad XSS i marketplace.magento.com + enklicksfel (ATO) som påverkar IMS-instanser
För Adobe Commerce:
- 2.4.8
Använd följande isolerade patch eller uppgradering till den senaste säkerhetspatchen.
Så här applicerar du det isolerade plåstret
Zippa upp filen och se Använda en kompositkorrigering från Adobe i vår kunskapsbas för support för instruktioner.
Endast för Adobe Commerce på molnhandlare - Hur du ser om de isolerade korrigeringarna har tillämpats
Eftersom det inte är enkelt att kontrollera om problemet har åtgärdats, kanske du vill kontrollera om den isolerade korrigeringsfilen CVE-2025-47110 har tillämpats.
OBS!: Du kan göra detta genom att utföra följande steg, med filen VULN-27015-2.4.7_COMPOSER.patch som exempel:
-
Kör kommandot:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
Du bör se utdata som liknar detta, där VULN-27015 returnerar statusen Används:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Säkerhetsuppdateringar
Säkerhetsuppdateringar för Adobe Commerce: