Adobe Commerce提供安全性更新 — APSB25-50
2025年6月10日,Adobe發佈了定期排程的Adobe Commerce和Magento Open Source安全性更新。 此更新解決嚴重和重要的漏洞。 成功利用這些漏洞可能導致安全功能略過、許可權提升和任意程式碼執行。
如需詳細資訊,請參閱Adobe安全性公告(APSB25-50)。
注意:請確定上述安全性公告中所列的CVE-2025-47110修正可以儘快套用,Adobe也已發行解決CVE-2025-47110的隔離修補程式。 如此一來,商戶便可單獨套用修正,並降低因潛在整合問題而導致的延遲風險。
請儘快套用最新的安全性更新。 若未這麼做,您就容易受到這些安全性問題的攻擊,而Adobe協助進一步修正此問題的方法有限。
您可以在此閱讀有關我們的獨立修補程式部署程式的詳細資訊。
注意: 針對Managed Services上的Adobe Commerce客戶,您的客戶成功工程師可提供套用修補程式的額外指引。
注意: 如果您在套用安全性修補程式/隔離修補程式時遇到任何問題,請連絡支援服務。
提醒您,您可以在此找到可用於Adobe Commerce的最新安全性更新。
說明 description
受影響的產品和版本
Adobe Commerce (所有部署方法):
- 2.4.8
- 2.4.7-p5和更舊版本
- 2.4.6-p10和較舊版本
- 2.4.5-p12和較舊版本
- 2.4.4-p13和較舊版本
問題
- Adobe Commerce版本2.4.8、2.4.7-p5和更早版本、2.4.6-p10和更早版本、2.4.5-p12和更早版本,以及2.4.4-p13和更早版本會透過伺服器端範本插入受到儲存型跨網站指令碼(XSS)弱點的影響。
- Adobe Commerce 2.4.8版受到marketplace.magento.com中反映的XSS弱點以及IMS執行個體中一鍵式帳戶接管(ATO)問題的影響。
解決方法 resolution
I.CVE-2025-47110:透過伺服器端範本插入在Adobe Commerce 2.4.7-p4 中儲存的XSS
若為Adobe Commerce版本:
- 2.4.8
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9、2.4.6-p10
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12
- 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13
套用下列隔離的修補程式,或升級至最新的安全性修補程式。
II. VULN-31547:marketplace.magento.com中反映的XSS +影響IMS執行個體 的一鍵式ATO問題
若為Adobe Commerce版本:
- 2.4.8
套用下列隔離的修補程式,或升級至最新的安全性修補程式。
如何套用隔離的修補程式
解壓縮檔案,並在我們的支援知識庫中參閱如何套用Adobe提供的撰寫器修補程式,以取得指示。
僅適用於Adobe Commerce on Cloud商家 — 如何分辨是否已套用隔離的修補程式
考慮到無法輕鬆檢查問題是否已修補,您可能想要檢查CVE-2025-47110隔離修補程式是否已成功套用。
注意: 您可以執行下列步驟,以VULN-27015-2.4.7_COMPOSER.patch檔案為例:
-
執行命令:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
您應該會看到類似以下的輸出,其中VULN-27015傳回 已套用 狀態:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全性更新
Adobe Commerce可用的安全性更新: