Η Adobe ανακοίνωσε στις 10 Ιουνίου 2025 τη διάθεση κρίσιμης ενημέρωσης ασφαλείας για τις πλατφόρμες Adobe Commerce και Magento Open Source, σύμφωνα με το Δελτίο Ασφαλείας APSB25-50. Η ενημέρωση αντιμετωπίζει ευπάθειες που, αν αξιοποιηθούν, μπορεί να οδηγήσουν σε παράκαμψη μηχανισμών ασφαλείας, κλιμάκωση δικαιωμάτων και εκτέλεση αυθαίρετου κώδικα.
Επηρεαζόμενες Εκδόσεις
Adobe Commerce:
- 2.4.8
- 2.4.7-p5 και παλαιότερες
- 2.4.6-p10 και παλαιότερες
- 2.4.5-p12 και παλαιότερες
- 2.4.4-p13 και παλαιότερες
Adobe Commerce B2B:
- 1.5.2 και παλαιότερες
Magento Open Source:
- 2.4.8
- 2.4.7-p5 και παλαιότερες
- 2.4.6-p10 και παλαιότερες
- 2.4.5-p12 και παλαιότερες
Κίνδυνοι & Ευπάθειες
Οι κυριότερες ευπάθειες που επιδιορθώνονται περιλαμβάνουν:
| CVE | Beschreibung | Σοβαρότητα | Επίπεδο Πρόσβασης |
|---|---|---|---|
| CVE-2025-47110 | Reflected XSS (εκτέλεση αυθαίρετου κώδικα) | Κρίσιμη (9.1) | Απαιτεί admin |
| CVE-2025-43585 | Improper Authorization | Κρίσιμη (8.2) | Χωρίς authentication |
| CVE-2025-27206 | Improper Access Control | Σημαντική (5.3) | Απαιτεί admin |
| CVE-2025-27207 | Privilege Escalation (B2B) | Σημαντική (6.5) | Απαιτεί χρήστη |
| CVE-2025-43586 | Privilege Escalation (B2B) | Σημαντική (6.5) | Απαιτεί χρήστη |
Δεν έχουν αναφερθεί ακόμη exploits “in the wild”, ωστόσο η Adobe συνιστά άμεση αναβάθμιση.
Προτεινόμενες Ενημερώσεις
Η Adobe προτείνει τις παρακάτω εκδόσεις αναλόγως της υπάρχουσας εγκατάστασης:
| Τρέχουσα Έκδοση | Αναβάθμιση Σε |
|---|---|
| 2.4.8 | 2.4.8-p1 ή 2.4.9-alpha1 |
| 2.4.7-p5 και παλαιότερες | 2.4.7-p6 |
| 2.4.6-p10 και παλαιότερες | 2.4.6-p11 |
| 2.4.5-p12 και παλαιότερες | 2.4.5-p13 |
| 2.4.4-p13 και παλαιότερες | 2.4.4-p14 |
Για B2B εγκαταστάσεις:
| Τρέχουσα Έκδοση B2B | Αναβάθμιση Σε |
|---|---|
| 1.5.2 | 1.5.2-p1 ή 1.5.3-alpha1 |
| 1.4.2-p5 και παλαιότερες | 1.4.2-p6 |
| 1.3.4-p12 και παλαιότερες | 1.3.4-p13 |
Επιπλέον, διατίθεται απομονωμένο patch για το CVE-2025-47110.
Πώς να προχωρήσετε στην ενημέρωση
Η αναβάθμιση μπορεί να γίνει μέσω Composer. Παράδειγμα:
composer require magento/product-community-edition 2.4.8-p1 --no-update
composer update
bin/magento setup:upgrade
bin/magento cache:flush
Εναλλακτικά, συμβουλευτείτε τις επίσημες οδηγίες εγκατάστασης της Adobe ή επικοινωνήστε με τον διαχειριστή του e-shop σας.
Συστήνεται έντονα η άμεση εφαρμογή των ενημερώσεων, ιδιαίτερα για καταστήματα με αυξημένο όγκο συναλλαγών ή ευαίσθητα δεδομένα πελατών.
Για οποιαδήποτε βοήθεια ή συμβουλή σχετικά με την ενημέρωση Magento, μη διστάσετε να επικοινωνήσετε μαζί μας.