Dokumentation

Åtgärd krävs: Kritisk säkerhetsuppdatering för Adobe Commerce (APSB25-88)

Last update: Thu Sep 18 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Uppdaterad 18 september 2025

Oberoende säkerhetsforskare uppmärksammade nyligen ett problem i Adobe Commerce där en angripare kunde ta över kundkonton via Commerce REST API (CVE-2025-54236).

Adobe har inga bevis för att denna möjlighet har utnyttjats.

Adobe har släppt en säkerhetsbulletin som åtgärdar den här säkerhetsluckan och finns här.

Obs!: För att åtgärda säkerhetsluckan CVE-2025-54236 som listas i säkerhetsbulletinen ovan har Adobe även släppt en hotfix VULN-32437-2-4-X-patch som åtgärdar CVE-2025-5-5422222333433433343442366223334633333363267732233336.

Använd snabbkorrigeringen så snart som möjligt. Om du inte gör det kommer du att vara sårbar för säkerhetsproblemet, och Adobe har begränsade möjligheter att åtgärda det.

Obs!: För handlare som använder Adobe Commerce i molninfrastrukturen har vi distribuerat WAF-regler (Web application firewall) för att skydda miljöer mot att den här säkerhetsluckan utnyttjas.

Adobe har infört WAF regler för att minska utnyttjandet av säkerhetsluckan, men att enbart förlita sig på WAF regler ger inte ett omfattande skydd. Under modellen med delat ansvar ansvarar handlarna för att skydda sina program och se till att korrigeringsfiler används. WAF är ett extra försvarsskikt, men det ersätter inte behovet av att tillämpa säkerhetsuppdateringar.

Du måste följa alla anvisningar om hur du åtgärdar detta, t.ex. genom att tillämpa patchar, uppdatera moduler eller genomföra andra rekommenderade säkerhetsåtgärder. Om du inte gör det kan du lämna miljön exponerad och begränsa Adobe förmåga att hjälpa till med reparationen.

Obs!: För Adobe Commerce på Managed Services-handlare kan din Customer Success Engineer ge ytterligare vägledning om hur du använder snabbkorrigeringen.

Obs!: Om du har frågor eller behöver hjälp kan du kontakta vårt supportteam.

Som påminnelse hittar du de senaste säkerhetsuppdateringarna för Adobe Commerce här.

Beskrivning description

Berörda produkter och versioner

Adobe Commerce (alla distributionsmetoder):

  • 2.4.9-alpha2 och tidigare
  • 2.4.8-p2 och tidigare
  • 2.4.7-p7 och tidigare
  • 2.4.6-p12 och tidigare versioner
  • 2.4.5-p14 och tidigare versioner
  • 2.4.4-p15 och tidigare versioner

Adobe Commerce B2B:

  • 1.5.3-alpha2 och tidigare
  • 1.5.2-p2 och tidigare
  • 1.4.2-p7 och tidigare
  • 1.3.4-p14 och tidigare versioner
  • 1.3.3-p15 och tidigare versioner

Magento Open Source:

  • 2.4.9-alpha2 och tidigare
  • 2.4.8-p2 och tidigare
  • 2.4.7-p7 och tidigare
  • 2.4.6-p12 och tidigare versioner
  • 2.4.5-p14 och tidigare versioner

Serialiserbar modul för anpassade attribut:

  • version 0.1.0 till 0.4.0

Problem

En potentiell angripare skulle kunna ta över kundkonton i Adobe Commerce via Commerce REST API.

Upplösning resolution

CVE-2025-54236: en potentiell angripare skulle kunna ta över kundkonton via Commerce REST API

För anpassade attribut, serialiserbara modulversioner:

Den här vägledningen gäller bara om din Adobe Commerce-instans för närvarande har en äldre version av modulen Serialiserbart anpassade attribut (magento/out-of-process-custom-attributes) installerad.

OBS:

  • Om den serialiserbara modulen för anpassade attribut (magento/out-of-process-custom-attributes-modulen) inte är installerad i din miljö kan du ignorera den här instruktionen och fortsätta med att tillämpa den angivna snabbkorrigeringen VULN-32437-2-4-X-patch.
  • Om du redan kör den senaste versionen av modulen Serializable för anpassade attribut behövs ingen uppgradering. Fortsätt med att tillämpa den angivna snabbkorrigeringen VULN-32437-2-4-X-patch.

Var noga med att tillämpa den angivna snabbkorrigeringen VULN-32437 för att åtgärda sårbarheten helt.

Tillämpliga versioner: 0.1.0 - 0.3.0

Uppdatera serialiserbar modul för anpassade attribut till version 0.4.0 eller senare.

Composer-kommandot kan köras för att uppdatera modulen:

composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies

För Adobe Commerce:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.2 4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14
  • 2.4.4, 2.4.4-p1, 2.4.4-p2, 2.4.4-p3, 2.4.4-p4, 2.4.4-p5, 2.4.4-p6, 2.4.4-p7, 2.4.4-p8, 2.4.4-p9, 2.4.4-p10 11, 2.4.4-p12, 2.4.4-p13, 2.4.4-p14, 2.4.4-p15

För Adobe Commerce B2B-versioner:

  • 1.5.3-alpha1, 1.5.3-alpha2
  • 1.5.2, 1.5.2-p1, 1.5.2-p2
  • 1.5.1
  • 1.5.0
  • 1.4.2, 1.4.2-p1, 1.4.2-p2, 1.4.2-p3, 1.4.2-p4, 1.4.2-p5, 1.4.2-p6, 1.4.2-p7
  • 1.4.1
  • 1.4.0
  • 1.3.5, 1.3.5-p1, 1.3.5-p2, 1.3.5-p3, 1.3.5-p4, 1.3.5-p5, 1.3.5-p6, 1.3.5-p7, 1.3.5-p8, 1.3.5-p9, 1.3.5-p10, 1 .3.5-p12
  • 1.3.4, 1.3.4-p1, 1.3.4-p2, 1.3.4-p3, 1.3.4-p4, 1.3.4-p5, 1.3.4-p6, 1.3.4-p7, 1.3.4-p8, 1.3.4-p9, 1.3.4-p10 1.3.4-p11, 1.3.4-p12, 1.3.4-p13, 1.3.4-p14
  • 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3-p15

För Magento Open Source:

  • 2.4.9-alpha1, 2.4.9-alpha2
  • 2.4.8, 2.4.8-p1, 2.4.8-p2
  • 2.4.7, 2.4.7-p1, 2.4.7-p2, 2.4.7-p3, 2.4.7-p4, 2.4.7-p5, 2.4.7-p6, 2.4.7-p7
  • 2.4.6, 2.4.6-p1, 2.4.6-p2, 2.4.6-p3, 2.4.6-p4, 2.4.6-p5, 2.4.6-p6, 2.4.6-p7, 2.4.6-p8, 2.4.6-p9 2.4.6-p10, 2.2 4.6-p11, 2.4.6-p12
  • 2.4.5, 2.4.5-p1, 2.4.5-p2, 2.4.5-p3, 2.4.5-p4, 2.4.5-p5, 2.4.5-p6, 2.4.5-p7, 2.4.5-p8, 2.4.5-p9, 2.4.5-p10 2.4.5-p11, 2.4.5-p12, 2.4.5-p13, 2.4.5-p14

Använd följande snabbkorrigering eller uppgradering för den senaste säkerhetspatchen:

Tillämpa snabbkorrigeringen

Zippa upp filen och se Använda en kompositkorrigering från Adobe i vår kunskapsbas för support för instruktioner.

Endast för Adobe Commerce på molnhandlare - Hur du ser om korrigeringsfiler har tillämpats

Eftersom det inte är lätt att avgöra om problemet har åtgärdats rekommenderar vi att du kontrollerar om den isolerade korrigeringsfilen CVE-2025-54236 har tillämpats.

OBS: Du kan göra detta genom att utföra följande steg, med filen VULN-27015-2.4.7_COMPOSER.patch som ett exempel:

  1. Installera verktyget för kvalitetskorrigeringar.

  2. Kör kommandot:

    vendor/bin/magento-patches -n status | grep "27015\|Status"

  3. Du bör se utdata som liknar detta, där det här exemplet VULN-27015 returnerar statusen Används:

    code language-none 
    ║ Id            │ Title                                                        │ Category        │ Origin                 │ Status      │ Details                                          ║
           ║ N/A           │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch         │ Other           │ Local                  │ Applied     │ Patch type: Custom

Säkerhetsuppdateringar

Säkerhetsuppdateringar för Adobe Commerce:

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f