需要操作:适用于Adobe Commerce的关键安全更新(APSB25-88)
2025年9月18日更新
最近,独立安全研究人员通知我们Adobe Commerce中存在一个问题,即攻击者可以通过Commerce REST API接管客户帐户(CVE-2025-54236)。
Adobe没有证据表明这一漏洞正在被恶意利用。
Adobe已发布安全公告解决此漏洞,该公告可在此处找到。
注意: 为了修复上述安全公告中列出的漏洞CVE-2025-54236,Adobe还发布了修补程序VULN-32437-2-4-X-patch,该修补程序可解析CVE-2025-54236。
请尽快应用修补程序。 如果您未能做到这一点,您将容易遭受此安全问题的攻击,而Adobe在帮助进行补救方面的手段有限。
注意: 对于在云基础架构上使用Adobe Commerce的商家,我们已部署Web应用程序防火墙(WAF)规则来保护环境免受此漏洞的攻击。
虽然Adobe已部署WAF规则来减少此漏洞的攻击,但仅依赖WAF规则无法提供全面的保护。 在共享责任模型下,商家负责保护其应用并确保应用补丁程序。 WAF是额外的防御层,但它没有取代应用安全修补程序的需要。
您必须遵循此处提供的所有修正指导,其中可能包括应用修补程序、更新模块或实施其他建议的安全措施。 如果不这样做,可能会使您的环境处于暴露状态,并限制Adobe协助进行补救的能力。
注意: 对于Managed Services商家上的Adobe Commerce,您的客户成功工程师可以提供有关应用此修补程序的其他指导。
注意: 如果您有任何问题或需要帮助,请立即联系我们的支持团队。
提醒您,您可以在此处找到Adobe Commerce的最新安全更新。
描述 description
受影响的产品和版本
Adobe Commerce(所有部署方法):
- 2.4.9-alpha2及更早版本
- 2.4.8-p2及更早版本
- 2.4.7-p7及更早版本
- 2.4.6-p12及更早版本
- 2.4.5-p14及更早版本
- 2.4.4-p15及更早版本
Adobe Commerce B2B:
- 1.5.3-alpha2及更早版本
- 1.5.2-p2及更早版本
- 1.4.2-p7及更低版本
- 1.3.4-p14及更早版本
- 1.3.3-p15及更早版本
Magento Open Source:
- 2.4.9-alpha2及更早版本
- 2.4.8-p2及更早版本
- 2.4.7-p7及更早版本
- 2.4.6-p12及更早版本
- 2.4.5-p14及更早版本
自定义属性可序列化模块:
- 版本0.1.0到0.4.0
问题
潜在的攻击者可以通过Commerce REST API接管客户在Adobe Commerce中的帐户。
解决方法 resolution
CVE-2025-54236:潜在的攻击者可以通过Commerce REST API接管客户帐户
对于自定义属性可序列化模块版本:
仅当Adobe Commerce实例当前安装了较低版本的自定义属性可序列化模块(magento/out-of-process-custom-attributes模块)时,本指南才适用。
注释:
- 如果您的环境中未安装自定义属性可序列化模块(
magento/out-of-process-custom-attributes模块),则可以忽略此说明,继续应用提供的修补程序修补程序VULN-32437-2-4-X-patch。 - 如果您已在运行最新版本的自定义属性可序列化模块,则无需升级。 继续应用提供的修补程序修补程序VULN-32437-2-4-X-patch。
请确保应用提供的修补程序修补程序VULN-32437以完全修复该漏洞。
适用的版本: 0.1.0 - 0.3.0
将自定义属性可序列化模块更新到0.4.0或更高版本。
要更新模块,可执行此 编辑器命令:
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
对于Adobe Commerce版本:
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
- 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13、2.4.4-p14、2.4.4-p15
对于Adobe Commerce B2B版本:
- 1.5.3-alpha1, 1.5.3-alpha2
- 1.5.2、1.5.2-p1、1.5.2-p2
- 1.5.1
- 1.5.0
- 1.4.2、1.4.2-p1、1.4.2-p2、1.4.2-p3、1.4.2-p4、1.4.2-p5、1.4.2-p6、1.4.2-p7
- 1.4.1
- 1.4.0
- 1.3.5、1.3.5-p1、1.3.5-p2、1.3.5-p3、1.3.5-p4、1.3.5-p5、1.3.5-p6、1.3.5-p7、1.3.5-p8、1.3.5-p9、1.3.5-p10、1.3.5-p12
- 1.3.4、1.3.4-p1、1.3.4-p2、1.3.4-p3、1.3.4-p4、1.3.4-p5、1.3.4-p6、1.3.4-p7、1.3.4-p8、1.3.4-p9、1.3.4-p10、1.3.4-p11、1.3.4-p12、1.3.4-p13、1.3.4-p14
- 1.3.3、1.3.3-p1、1.3.3-p2、1.3.3-p3、1.3.3-p4、1.3.3-p5、1.3.3-p6、1.3.3-p7、1.3.3-p8、1.3.3-p9、1.3.3-p10、1.3.3-p11、1.3.3-p12、1.3.3-p13、1.3.3-p14、1.3.3-p15
对于Magento Open Source版本:
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
应用以下修补程序或升级到最新的安全修补程序:
如何应用修补程序
解压缩文件,并在我们的支持知识库中参阅如何应用Adobe提供的编辑器修补程序获取相关说明。
仅适用于Adobe Commerce on Cloud商家 — 如何判断是否已应用修补程序
考虑到无法轻松确定是否已修补问题,建议您检查CVE-2025-54236隔离修补程序是否已成功应用。
注意: 您可以执行以下步骤,以文件VULN-27015-2.4.7_COMPOSER.patch 为例:
-
运行以下命令:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
您应该看到类似于以下内容的输出,其中 此示例 VULN-27015 返回 已应用 状态:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全更新
可用于Adobe Commerce的安全更新: