需要採取動作:Adobe Commerce有可用的重要安全性更新(APSB25-88)
2025年9月18日更新
獨立安全性研究人員最近已告知Adobe Commerce中攻擊者可透過Commerce REST API接管客戶帳戶的問題(CVE-2025-54236)。
Adobe沒有證據顯示有人在野外利用這個漏洞。
Adobe已發佈安全性公告,解決此弱點,可在此處找到。
注意: 為了修正上述安全性公告中所列的漏洞CVE-2025-54236,Adobe也發行了解析CVE-2025-54236的Hotfix VULN-32437-2-4-X-patch。
請儘快套用Hotfix。 若未這麼做,您就容易受到此安全性問題的攻擊,而Adobe協助修正的方法有限。
注意: 對於在雲端基礎結構上使用Adobe Commerce的商家,我們已部署Web應用程式防火牆(WAF)規則來保護環境不受此漏洞的利用。
雖然Adobe已部署WAF規則來減少此漏洞的利用情形,但僅依賴WAF規則並不能提供全方位的保護。 在共用責任模式下,商家有責任保護其應用程式,並確保套用修補程式。 WAF是額外的防禦層,但並未取代套用安全性Hotfix的需求。
您必須遵循此處提供的所有修正指引,其中可能包括套用修補程式、更新模組或實施其他建議的安全性措施。 若未這麼做,可能會讓您的環境暴露在外,並限制Adobe協助修正的能力。
注意: 針對Managed Services商家上的Adobe Commerce,您的客戶成功工程師可提供套用Hotfix的額外指引。
附註: 若您有任何問題或需要協助,請立即連絡我們的支援團隊。
提醒您,您可以在這裡找到Adobe Commerce的最新安全性更新。
說明 description
受影響的產品和版本
Adobe Commerce (所有部署方法):
- 2.4.9-alpha2和更舊版本
- 2.4.8-p2和更舊版本
- 2.4.7-p7和更舊版本
- 2.4.6-p12和較舊版本
- 2.4.5-p14和較舊版本
- 2.4.4-p15和較舊版本
Adobe Commerce B2B:
- 1.5.3-alpha2和更舊版本
- 1.5.2-p2和較舊版本
- 1.4.2-p7和更舊版本
- 1.3.4-p14和較舊版本
- 1.3.3-p15和較舊版本
Magento Open Source:
- 2.4.9-alpha2和更舊版本
- 2.4.8-p2和更舊版本
- 2.4.7-p7和更舊版本
- 2.4.6-p12和較舊版本
- 2.4.5-p14和較舊版本
自訂屬性可序列化模組:
- 版本0.1.0至0.4.0
問題
潛在攻擊者可透過Commerce REST API取得Adobe Commerce中的客戶帳戶。
解決方法 resolution
CVE-2025-54236:潛在的攻擊者可能會透過Commerce REST API接管客戶帳戶
對於自訂屬性可序列化模組版本:
此指引僅適用於您的Adobe Commerce執行個體目前已安裝較舊版本的自訂屬性可序列化模組(magento/out-of-process-custom-attributes模組)時。
附註:
- 如果您的環境中未安裝自訂屬性可序列化模組(
magento/out-of-process-custom-attributes模組),您可以忽略此指示,繼續套用提供的Hotfix修補程式VULN-32437-2-4-X-patch。 - 如果您已執行最新版的自訂屬性可序列化模組,則不需要升級。 繼續套用提供的Hotfix修補程式VULN-32437-2-4-X-patch。
請務必套用提供的Hotfix修補程式VULN-32437,以完全修復漏洞。
適用版本: 0.1.0 - 0.3.0
將自訂屬性可序列化模組更新至0.4.0版或更新版本。
若要更新模組,可執行此 撰寫器命令:
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
若為Adobe Commerce版本:
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
- 2.4.4、2.4.4-p1、2.4.4-p2、2.4.4-p3、2.4.4-p4、2.4.4-p5、2.4.4-p6、2.4.4-p7、2.4.4-p8、2.4.4-p9、2.4.4-p10、2.4.4-p11、2.4.4-p12、2.4.4-p13、2.4.4-p14、2.4.4-p15
若為Adobe Commerce B2B版本:
- 1.5.3-alpha1, 1.5.3-alpha2
- 1.5.2、1.5.2-p1、1.5.2-p2
- 1.5.1
- 1.5.0
- 1.4.2、1.4.2-p1、1.4.2-p2、1.4.2-p3、1.4.2-p4、1.4.2-p5、1.4.2-p6、1.4.2-p7
- 1.4.1
- 1.4.0
- 1.3.5、1.3.5-p1、1.3.5-p2、1.3.5-p3、1.3.5-p4、1.3.5-p5、1.3.5-p6、1.3.5-p7、1.3.5-p8、1.3.5-p9、1.3.5-p10、1.3.5-p12
- 1.3.4、1.3.4-p1、1.3.4-p2、1.3.4-p3、1.3.4-p4、1.3.4-p5、1.3.4-p6、1.3.4-p7、1.3.4-p8、1.3.4-p9、1.3.4-p10、1.3.4-p11、1.3.4-p12、1.3.4-p13、1.3.4-p14
- 1.3.3, 1.3.3-p1, 1.3.3-p2, 1.3.3-p3, 1.3.3-p4, 1.3.3-p5, 1.3.3-p6, 1.3.3-p7, 1.3.3-p8, 1.3.3-p9, 1.3.3-p10, 1.3.3-p11, 1.3.3-p12, 1.3.3-p13, 1.3.3-p14, 1.3.3.3-p15
若為Magento Open Source版本:
- 2.4.9-alpha1, 2.4.9-alpha2
- 2.4.8、2.4.8-p1、2.4.8-p2
- 2.4.7、2.4.7-p1、2.4.7-p2、2.4.7-p3、2.4.7-p4、2.4.7-p5、2.4.7-p6、2.4.7-p7
- 2.4.6、2.4.6-p1、2.4.6-p2、2.4.6-p3、2.4.6-p4、2.4.6-p5、2.4.6-p6、2.4.6-p7、2.4.6-p8、2.4.6-p9 2.4.6-p10、2.4.6-p11、2.4.6-p12
- 2.4.5、2.4.5-p1、2.4.5-p2、2.4.5-p3、2.4.5-p4、2.4.5-p5、2.4.5-p6、2.4.5-p7、2.4.5-p8、2.4.5-p9、2.4.5-p10、2.4.5-p11、2.4.5-p12、2.4.5-p13、2.4.5-p14
套用下列Hotfix或升級至最新的安全性修補程式:
如何套用Hotfix
解壓縮檔案,並在我們的支援知識庫中參閱如何套用Adobe提供的撰寫器修補程式,以取得指示。
僅適用於Adobe Commerce on Cloud商家 — 如何判斷是否已套用修補程式
考慮到無法輕易判斷問題是否已修補,建議您檢查CVE-2025-54236隔離修補程式是否已成功套用。
注意: 您可以執行下列步驟,以檔案VULN-27015-2.4.7_COMPOSER.patch 為例:
-
執行命令:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
您應該會看到類似此的輸出,其中 此範例 VULN-27015 傳回 已套用 狀態:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全性更新
Adobe Commerce可用的安全性更新: