Adobe Commerce有安全更新 — APSB25-50
2025年6月10日,Adobe发布了Adobe Commerce和Magento Open Source的定期安全更新。 此更新解决了严重和重要的漏洞。 成功利用这些漏洞可能会导致绕过安全功能、权限提升和任意代码执行。
更多信息可在Adobe安全公告(APSB25-50)此处找到。
注意:确保可以尽快应用以上安全公告中列出的CVE-2025-47110的修正,Adobe还发布了一个解析CVE-2025-47110的隔离修补程序。 这允许商家单独应用修复,并且减少由于潜在的集成问题而导致的延迟风险。
请尽快应用最新的安全更新。 如果您未能做到这一点,您将容易遭受这些安全问题的攻击,而Adobe在帮助进一步修复该问题方面手段有限。
您可以在此阅读有关我们的独立修补程序部署过程的更多信息。
注意: 对于Managed Services上的Adobe Commerce客户,您的客户成功工程师可以提供有关应用修补程序的其他指导。
注意: 如果您在应用安全修补程序/隔离修补程序时遇到任何问题,请联系支持服务。
提醒您,您可以在此找到可用于Adobe Commerce的最新安全更新。
描述 description
受影响的产品和版本
Adobe Commerce(所有部署方法):
- 2.4.8
- 2.4.7-p5及更早版本
- 2.4.6-p10及更早版本
- 2.4.5-p12及更早版本
- 2.4.4-p13及更早版本
问题
- Adobe Commerce版本2.4.8、2.4.7-p5及更早版本、2.4.6-p10及更早版本、2.4.5-p12及更早版本以及2.4.4-p13及更早版本受通过服务器端模板注入产生的存储型跨站点脚本(XSS)漏洞的影响。
- Adobe Commerce版本2.4.8受marketplace.magento.com中反映的XSS漏洞以及IMS实例中一键式帐户接管(ATO)问题的影响。
解决方法 resolution
I.CVE-2025-47110:在Adobe Commerce 2.4.7-p4 中通过服务器端模板注入存储XSS
对于Adobe Commerce版本:
- 2.4.8
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12
- 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13
应用以下独立补丁程序或升级到最新的安全补丁程序。
二、VULN-31547:marketplace.magento.com中反映的XSS +影响IMS实例 的一键式ATO问题
对于Adobe Commerce版本:
- 2.4.8
应用以下独立补丁程序或升级到最新的安全补丁程序。
如何应用独立修补程序
解压缩文件,并在我们的支持知识库中参阅如何应用Adobe提供的编辑器修补程序获取相关说明。
仅适用于Adobe Commerce on Cloud商家 — 如何判断是否已应用独立的修补程序
考虑到无法轻松检查问题是否已修补,您可能希望检查CVE-2025-47110隔离修补程序是否已成功应用。
注意: 您可以执行以下步骤,以文件VULN-27015-2.4.7_COMPOSER.patch为例:
-
运行以下命令:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
您应该会看到类似以下内容的输出,其中VULN-27015返回 已应用 状态:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全更新
可用于Adobe Commerce的安全更新: