L’11 febbraio 2025, Adobe ha rilasciato alcuni aggiornamenti Magento di sicurezza, programmati per Adobe Commerce e Magento Open Source. Questi aggiornamenti sono fondamentali poiché risolvono vulnerabilità critiche, importanti e moderate che potrebbero portare a:
- Esecuzione di codice arbitrario
- Bypass delle funzionalità di sicurezza
- Privilege escalation (violazione dei sistemi e presa di controllo)
Patch isolata per CVE-2025-24434
Per garantire una rapida risoluzione della vulnerabilità CVE-2025-24434, Adobe ha rilasciato anche una patch isolata. Questo permette ai merchants di applicare la correzione in modo indipendente, riducendo i rischi legati a problemi di integrazione.
⚠️ Importante: Applica il prima possibile gli aggiornamenti di sicurezza più recenti per mantenere al sicuro il tuo E-Commerce.
Versioni Magento e Adobe commerce interessati
- Adobe Commerce su Cloud
- Adobe Commerce on-premises
- Magento Open Source
Versioni interessate:
- 2.4.8-beta1 e precedenti
- 2.4.7-p3 e precedenti
- 2.4.6-p8 e precedenti
- 2.4.5-p10 e precedenti
- 2.4.4-p11 e precedenti
Come Applicare la Patch Isolata
Per risolvere la vulnerabilità, scarica e utilizza la patch CVE-2025-24434 isolata corrispondente alla tua versione di Adobe Commerce/Magento Open Source:
- Per la versione 2.4.8-beta1: vuln-28982-2-4-8x-v2-composer-patch.zip
- Per le versioni 2.4.7 – 2.4.7-p3:
vuln-28982-2-4-7x-v2-composer-patch.zip - Per le versioni 2.4.6 – 2.4.6-p8: vuln-28982-2-4-6x-v2-composer-patch.zip
- Per le versioni 2.4.5 – 2.4.5-p10:
vuln-28982-2-4-5x-v2-composer-patch.zip - Per le versioni 2.4.4 – 2.4.4-p11: vuln-28982-2-4-4x-v2-composer-patch.zip
Istruzioni per l’installazione:
- Decomprimi il file ZIP.
- Segui la guida “How to apply a composer patch provided by Adobe” disponibile sul sito di Adobe.
Verifica dell’Applicazione della Patch (Solo per Adobe Commerce su Cloud)
Per controllare se la patch CVE-2025-24434 è stata applicata correttamente:
- Installa lo strumento Quality Patches Tool.
- Esegui il comando:
Se la patch è stata applicata, vedrai uno stato simile a questo:
Id | Titolo | Categoria | Origine | Stato | Dettagli
-----------------|-------------------------------|-----------|---------|---------|--------------------
N/A | ../m2-hotfixes/VULN-27015.patch | Altro | Locale | Applied | Tipo di patch: CustomAggiornamenti di sicurezza
Se vuoi visionare tutti gli aggiornamenti disponibili per Magento / Adobe Commerce, puoi visitare la pagina “The latest Security updates available for Adobe Commerce“
Non rimandare: proteggi il tuo e-commerce da vulnerabilità critiche oggi stesso con questo nuovi aggiornamenti Magento!
Fonte: Experience League Adobe