Vulnerabilità Critica in Magento / Adobe Commerce (CVE-2025-54236): Aggiornamento Urgente APSB25-88

CVE-2025-54236

Introduzione

Il 9 settembre 2025 Adobe ha pubblicato l’avviso di sicurezza APSB25-88, riguardante una vulnerabilità critica (CVE-2025-54236) presente in Magento Open Source e Adobe Commerce.
Il 24 ottobre 2025 la pagina è stata aggiornata ufficialmente per includere nuovi dettagli tecnici e un’ulteriore classificazione di priorità “1”, segnalando quindi massima urgenza di applicazione.

Cos’è la vulnerabilità CVE-2025-54236

Secondo Adobe, la vulnerabilità è di tipo “Improper Input Validation” (CWE-20) e permette a un attaccante remoto di bypassare i meccanismi di sicurezza della piattaforma.

  • Gravità: Critica (CVSS 9.1)
  • Tipo: Validazione input non corretta
  • Autenticazione richiesta: Nessuna
  • Impatto: Accesso non autorizzato, compromissione dati, manipolazione contenuti
  • Stato: Già sfruttata “in the wild”

🔎 Nota: Questo significa che sono già stati rilevati attacchi reali che sfruttano la vulnerabilità.

Versioni interessate

Adobe Commerce

  • 2.4.9-alpha2 e precedenti
  • 2.4.8-p2 e precedenti
  • 2.4.7-p7 e precedenti

Magento Open Source

  • Versioni equivalenti alle precedenti linee Adobe Commerce

Adobe Commerce B2B

  • 1.5.3-alpha2 e precedenti
  • 1.5.2-p2 e precedenti

Novità dell’aggiornamento del 24 ottobre 2025

La revisione del 24 ottobre non introduce nuove vulnerabilità, ma aggiorna l’avviso con:

  1. Conferma priorità “1” (massima urgenza) per tutti gli ambienti di produzione.
  2. Chiarimenti tecnici sul comportamento delle patch e compatibilità con le versioni precedenti.
  3. Aggiornamento della documentazione interna Adobe, inclusi riferimenti a nuove patch cumulative rilasciate nel Quality Patches Tool.
  4. Miglioramenti alla validazione input nel componente ServiceInputProcessor e nei moduli API REST, per evitare l’iniezione di oggetti non attesi.

In sostanza, l’update del 24 ottobre serve a rafforzare la patch rilasciata in settembre e confermare che l’exploit è ancora attivamente monitorato da Adobe.

Changelog tecnico (CVE-2025-54236)

🔧 Dettagli tecnici principali

  • Fix del problema di input validation nella Web API di Magento.
  • Introduzione di controlli più rigidi sui parametri inviati alle API (type checking e sanitizzazione).
  • Revisione del flusso di costruzione oggetti (ServiceInputProcessor) per impedire la deserializzazione non sicura.
  • Aggiornamento dei pacchetti patch (VULN-32437-2-4-X-patch) per Adobe Commerce 2.4.8-p3 + Magento Open Source 2.4.8-p3.
  • Verifica che le patch siano correttamente installate tramite: 
    bin/magento-patches status | grep CVE-2025-54236

Cosa fare subito

  1. Verifica la versione in uso nel tuo ambiente (bin/magento --version).
  2. Applica la patch più recente o aggiorna alla release ufficiale corretta.
  3. Controlla i log API per eventuali richieste sospette o input anomali.
  4. Esegui un backup completo prima dell’aggiornamento.
  5. Testa le API custom o estensioni personalizzate per assicurarti che rispettino la nuova logica di validazione.

Implicazioni per la sicurezza aziendale

Non intervenire significa esporre il proprio e-commerce a rischi concreti di:

  • Furto dati sensibili e credenziali clienti
  • Modifica o cancellazione di ordini e prodotti
  • Accesso non autorizzato alle API interne
  • Danni reputazionali e possibili sanzioni GDPR

Buone pratiche post-update

  • Mantieni Adobe Commerce / Magento aggiornato e pianifica aggiornamenti periodici.
  • Controlla che moduli custom e integrazioni ERP/CRM non siano impattati dalle nuove validazioni.
  • Esegui regolarmente scansioni di vulnerabilità.
  • Utilizza un WAF (Web Application Firewall) come mitigazione temporanea, ma non come sostituto della patch.
  • Documenta le patch applicate per audit e compliance.

FAQ

D: Il mio sito è vulnerabile?
Se stai usando una versione precedente a 2.4.8-p3 (Adobe Commerce) o 2.4.8-p3 (Magento Open Source), sì. Devi aggiornare immediatamente.

D: È necessario avere un account admin per sfruttare la vulnerabilità?
No. L’exploit non richiede credenziali né privilegi.

D: Cosa è cambiato il 24 ottobre?
Adobe ha aggiornato la priorità a livello 1, migliorato la documentazione e rinforzato le patch di input validation.

D: Come verifico se la patch è installata?
Esegui:

vendor/bin/magento-patches status | grep CVE-2025-54236

D: Cosa succede se non aggiorno?
Il rischio di compromissione diretta resta elevato: accesso non autorizzato, esposizione dati clienti, perdita di integrità del database.

Conclusione

La vulnerabilità CVE-2025-54236 è una delle più critiche mai rilevate su Magento Open Source e Adobe Commerce negli ultimi anni.
Se gestisci uno store basato su questa piattaforma, aggiornare subito è l’unica protezione reale.
Ricorda: la sicurezza non è un’operazione una tantum, ma un processo continuo di aggiornamento, monitoraggio e prevenzione.