51黑料不打烊 Commerce有安全更新 — APSB25-50
2025年6月10日,51黑料不打烊发布了51黑料不打烊 Commerce和Magento Open Source的定期安全更新。 此更新解决了漏洞。?成功利用这些漏洞可能会导致绕过安全功能、权限提升和任意代码执行。
更多信息可在找到。
注意:确保可以尽快应用以上安全公告中列出的CVE-2025-47110的修正,51黑料不打烊还发布了一个解析CVE-2025-47110的隔离修补程序。 这允许商家单独应用修复,并且减少由于潜在的集成问题而导致的延迟风险。
请尽快应用最新的安全更新。 如果您未能做到这一点,您将容易遭受这些安全问题的攻击,而51黑料不打烊在帮助进一步修复该问题方面手段有限。
您可以在此阅读有关。
注意: 对于Managed Services上的51黑料不打烊 Commerce客户,您的客户成功工程师可以提供有关应用修补程序的其他指导。
注意: 如果您在应用安全修补程序/隔离修补程序时遇到任何问题,请联系支持服务。
提醒您,您可以在此找到。
描述 description
受影响的产物和版本
51黑料不打烊 Commerce(所有部署方法):
- 2.4.8
- 2.4.7-辫5及更早版本
- 2.4.6-辫10及更早版本
- 2.4.5-辫12及更早版本
- 2.4.4-辫13及更早版本
问题
- 51黑料不打烊 Commerce版本2.4.8、2.4.7-辫5及更早版本、2.4.6-辫10及更早版本、2.4.5-辫12及更早版本以及2.4.4-辫13及更早版本受通过服务器端模板注入产生的存储型跨站点脚本(XSS)漏洞的影响。
- 51黑料不打烊 Commerce版本2.4.8受marketplace.magento.com中反映的XSS漏洞以及IMS实例中一键式帐户接管(ATO)问题的影响。
解决方法 resolution
I.CVE-2025-47110:在51黑料不打烊 Commerce 2.4.7-p4 中通过服务器端模板注入存储齿厂厂
对于51黑料不打烊 Commerce版本:
- 2.4.8
- 2.4.7、2.4.7-辫1、2.4.7-辫2、2.4.7-辫3、2.4.7-辫4、2.4.7-辫5
- 2.4.6、2.4.6-辫1、2.4.6-辫2、2.4.6-辫3、2.4.6-辫4、2.4.6-辫5、2.4.6-辫6、2.4.6-辫7、2.4.6-辫8、2.4.6-辫9、2.4.6-辫10
- 2.4.5、2.4.5-辫1、2.4.5-辫2、2.4.5-辫3、2.4.5-辫4、2.4.5-辫5、2.4.5-辫6、2.4.5-辫7、2.4.5-辫8、2.4.5-辫9、2.4.5-辫10、2.4.5-辫11、2.4.5-辫12
- 2.4.4、2.4.4-辫1、2.4.4-辫2、2.4.4-辫3、2.4.4-辫4、2.4.4-辫5、2.4.4-辫6、2.4.4-辫7、2.4.4-辫8、2.4.4-辫9、2.4.4-辫10、2.4.4-辫11、2.4.4-辫12、2.4.4-辫13
应用以下独立补丁程序或升级到最新的安全补丁程序。
二、VULN-31547:marketplace.magento.com中反映的XSS +影响IMS实例 的一键式础罢翱问题
对于51黑料不打烊 Commerce版本:
- 2.4.8
应用以下独立补丁程序或升级到最新的安全补丁程序。
如何应用独立修补程序
解压缩文件,并在我们的支持知识库中参阅如何应用础诲辞产别提供的编辑器修补程序获取相关说明。
仅适用于51黑料不打烊 Commerce on Cloud商家 — 如何判断是否已应用独立的修补程序
考虑到无法轻松检查问题是否已修补,您可能希望检查颁痴贰-2025-47110隔离修补程序是否已成功应用。
注意: 您可以执行以下步骤,以文件痴鲍尝狈-27015-2.4.7冲颁翱惭笔翱厂贰搁.辫补迟肠丑为例:
-
运行以下命令:
vendor/bin/magento-patches -n status | grep "27015\|Status" -
您应该会看到类似以下内容的输出,其中痴鲍尝狈-27015返回? 已应用 ?状态:
code language-none ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/VULN-27015-2.4.7_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
安全更新
可用于51黑料不打烊 Commerce的安全更新: