Adobe ha recentemente rilasciato (il 10 Giugno 2025) un importante aggiornamento per Magento. Questo update di sicurezza riguarda Adobe Commerce e Magento Open Source ed è identificato con il bollettino APSB25-50. Si tratta di una aggiornamento di sicurezza pensato per correggere alcune vulnerabilità che, se trascurate, potrebbero mettere a rischio la sicurezza dei siti E-Commerce che utilizzano queste piattaforme.
Vediamo insieme cosa è stato risolto, quali versioni sono coinvolte e cosa bisogna fare per mantenere il proprio store al sicuro.
Le vulnerabilità corrette
Il nuovo aggiornamento di sicurezza APSB25-50 affronta cinque vulnerabilità, due delle quali classificate come critiche.
Una in particolare, la CVE-2025-47110, riguarda una vulnerabilità di tipo XSS riflessa, con un punteggio di gravità pari a 9.1 su 10. L’altra, la CVE-2025-43585, è legata a problemi di autorizzazione impropria, con un livello di rischio alto (8.2).
Anche se Adobe ha dichiarato che al momento non ci sono evidenze di exploit attivi che sfruttano queste falle, il potenziale impatto in caso di attacco è significativo. Da qui l’urgenza di applicare le patch disponibili il prima possibile.
| Categoria | Impatto | Gravità | CVSS | CVE | Note |
|---|---|---|---|---|---|
| XSS riflessa (CWE‑79) | Esecuzione codice arbitrario | Critica | 9.1 | CVE‑2025‑47110 | Richiede autenticazione e permessi admin |
| Autorizzazione impropria (CWE‑285) | Bypass sicurezza | Critica | 8.2 | CVE‑2025‑43585 | Non richiede permessi admin |
| Controllo accessi (CWE‑284) | Bypass sicurezza | Importante | 5.3 | CVE‑2025‑27206 | Richiede autenticazione e permessi admin |
| Controllo accessi (CWE‑284) | Elevazione di privilegi | Importante | 6.5 | CVE‑2025‑27207 | Solo B2B; richiede autenticazione/admin |
| Controllo accessi (CWE‑284) | Elevazione di privilegi | Importante | 6.5 | CVE‑2025‑43586 | Solo B2B; richiede autenticazione/admin |
In sostanza, il dettaglio delle minacce è il seguente:
- XSS riflessa: consente l’iniezione di script maligni, con potenziali rischi come furto di informazioni di pagamento, hijacking di sessioni o controllo non autorizzato dell’area admin.
- Accesso e autorizzazione impropri: permettono di aggirare restrizioni, modificare impostazioni di negozio, creare codici sconto o visualizzare informazioni sensibili sui clienti .
Il rischio per i negozi online è molto elevato, pertanto occorre effettuare subito le operazioni richieste al fine di scongiurare danni la tuo E-Commerce Magento e relative conseguenze.
Versioni interessate e relativo Update Magento
Le seguenti versioni di Adobe Commerce, Adobe Commerce B2B e Magento Open Source sono interessate dalle vulnerabilità descritte in questo articolo. Adobe raccomanda quindi di effettuare per queste versioni interessate, i relativi Update Magento.
| Versioni interessate | Update Magento |
|---|---|
| Adobe Commerce 2.4.8 | 2.4.8‑p1 |
| Adobe Commerce 2.4.7‑p5 e precedenti | 2.4.7‑p6 |
| Adobe Commerce 2.4.6‑p10 e precedenti | 2.4.6‑p11 |
| Adobe Commerce 2.4.5‑p12 e precedenti | 2.4.5‑p13 |
| Adobe Commerce 2.4.4‑p13 e precedenti | 2.4.4‑p14 |
| Magento Open Source 2.4.8 | 2.4.8 -p1 |
| Magento Open Source 2.4.7-p5 e precedenti | 2.4.7 -p6 |
| Magento Open Source 2.4.6-p10 e precedenti | 2.4.6 -p11 |
| Magento Open Source 2.4.5-p12 e precedenti | 2.4.5-p13 |
| Adobe Commerce B2B 1.5.2 | 1.5.2‑p1 |
| Adobe Commerce B2B 1.4.2‑p5 e precedenti | 1.4.2‑p6 |
| Adobe Commerce B2B 1.3.5‑p10 e precedenti | 1.3.5‑p11 |
| Adobe Commerce B2B 1.3.4‑p12 e precedenti | 1.3.4‑p13 |
| Adobe Commerce B2B 1.3.3‑p13 e precedenti | 1.3.3‑p14 |
Patch di Sicurezza per Magento e Adobe Commerce
Qualora non potessi effettuare subito l’upgrade Magento, puoi comunque installare le patch di sicurezza per CVE-2025-47110.
Applica le seguenti patch di sicurezza rilasciate per Magento e Adobe Commerce.
Se vuoi sapere come applicare le patch di sicurezza, leggi la nostra guida Come installare le patch di sicurezza Magento