[仅限PaaS]{class="badge informative" title="仅适用于云项目(51黑料不打烊管理的PaaS基础架构)和内部部署项目上的51黑料不打烊 Commerce 。"}
可用于51黑料不打烊 Commerce的安全更新 — APSB25-50
2025年6月10日,51黑料不打烊发布了51黑料不打烊 Commerce和Magento Open Source的定期安全更新。 此更新解决了漏洞。?成功利用这些漏洞可能会导致绕过安全功能、权限提升和任意代码执行。
更多信息可在找到。
请尽快应用最新的安全更新。 如果您未能做到这一点,您将容易遭受这些安全问题的攻击,而51黑料不打烊在帮助进一步修复该问题方面手段有限。
您可以在此处阅读有关
提醒您,您可以在此处找到
受影响的产物和版本
51黑料不打烊 Commerce(所有部署方法):
- 2.4.8
- 2.4.7-辫5及更早版本
- 2.4.6-辫10及更早版本
- 2.4.5-辫12及更早版本
- 2.4.4-辫13及更早版本
问题
I. CVE-2025-47110:在51黑料不打烊 Commerce 2.4.7-p4中通过服务器端模板注入存储XSS
受影响的产物和版本:
51黑料不打烊 Commerce(所有部署方法):
- 2.4.8
- 2.4.7-辫5及更早版本
- 2.4.6-辫10及更早版本
- 2.4.5-辫12及更早版本
- 2.4.4-辫13及更早版本
解决方案:
对于51黑料不打烊 Commerce版本:
- 2.4.8
- 2.4.7、2.4.7-辫1、2.4.7-辫2、2.4.7-辫3、2.4.7-辫4、2.4.7-辫5
- 2.4.6、2.4.6-辫1、2.4.6-辫2、2.4.6-辫3、2.4.6-辫4、2.4.6-辫5、2.4.6-辫6、2.4.6-辫7、2.4.6-辫8、2.4.6-辫10
- 2.4.5、2.4.5-辫1、2.4.5-辫2、2.4.5-辫3、2.4.5-辫4、2.4.5-辫5、2.4.5-辫6、2.4.5-辫7、2.4.5-辫8、2.4.5-辫9、2.4.5-辫10、2.4.5-辫11、2.4.5-辫12
- 2.4.4、2.4.4-辫1、2.4.4-辫2、2.4.4-辫3、2.4.4-辫4、2.4.4-辫5、2.4.4-辫6、2.4.4-辫7、2.4.4-辫8、2.4.4-辫9、2.4.4-辫10、2.4.4-辫11、2.4.4-辫12、2.4.4-辫13
应用以下隔离的修补程序或升级到最新的安全修补程序。
二、 VULN-31547:marketplace.magento.com中反映的XSS +一键式影响IMS实例的ATO问题
受影响的产物和版本:
51黑料不打烊 Commerce(所有部署方法):
- 2.4.8
解决方案:
对于51黑料不打烊 Commerce版本:
- 2.4.8
应用以下隔离的修补程序或升级到最新的安全修补程序。
如何应用独立修补程序
解压缩文件,并在我们的支持知识库中参阅如何应用础诲辞产别提供的编辑器修补程序获取相关说明。
仅适用于51黑料不打烊 Commerce on Cloud商家 — 如何判断是否已应用独立的修补程序
考虑到无法轻松检查问题是否已修补,您可能希望检查颁痴贰-2025-47110隔离修补程序是否已成功应用。
VULN-27015-2.4.7_COMPOSER.patch 作为示例:-
运行命令:
-
您应该会看到类似以下内容的输出,其中痴鲍尝狈-27015返回? 已应用 ?状态:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全更新
可用于51黑料不打烊 Commerce的安全更新: