Adobe警告称,其Commerce和Magento开源平台存在一个严重的安全漏洞,如果被成功利用,可能会使攻击者能够接管客户账户。
该漏洞被追踪为CVE-2025-54236(也称为SessionReaper),其CVSS评分为9.1(满分10.0),被描述为一个不当输入验证漏洞。Adobe表示,目前尚未发现有针对该漏洞的野外利用情况。
“潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。
该问题影响以下产品和版本:
Adobe Commerce(所有部署方式):
– 2.4.9-alpha2及更早版本
– 2.4.8-p2及更早版本
– 2.4.7-p7及更早版本
– 2.4.6-p12及更早版本
– 2.4.5-p14及更早版本
– 2.4.4-p15及更早版本
Adobe Commerce B2B:
– 1.5.3-alpha2及更早版本
– 1.5.2-p2及更早版本
– 1.4.2-p7及更早版本
– 1.3.4-p14及更早版本
– 1.3.3-p15及更早版本
Magento开源:
– 2.4.9-alpha2及更早版本
– 2.4.8-p2及更早版本
– 2.4.7-p7及更早版本
– 2.4.6-p12及更早版本
– 2.4.5-p14及更早版本
自定义属性可序列化模块:
– 0.1.0至0.4.0版本
除了发布针对该漏洞的热修复程序外,Adobe还表示,已部署网络应用防火墙(WAF)规则,以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。
“SessionReaper是Magento历史上更严重的漏洞之一,可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。
这家总部位于荷兰的公司表示,已成功复现了利用CVE-2025-54236的一种可能方式,但指出还有其他可能的途径可以利用该漏洞。
“该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道,“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。”
“特定的远程代码执行向量似乎需要基于文件的会话存储。然而,我们建议使用Redis或数据库会话的商家也立即采取行动,因为有多种方式可以滥用这个漏洞。”
Adobe还发布了修复程序,以修复ColdFusion中的一个关键路径遍历漏洞(CVE-2025-54261,CVSS评分:9.0),该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021(更新21及更早版本)、2023(更新15及更早版本)和2025(更新3及更早版本)。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容