Adobe 警告称,其 Commerce 和 Magento 开源平台存在严重安全漏洞,如果成功利用该漏洞,攻击者可能会控制客户帐户。
该漏洞被跟踪为 CVE-2025-54236(又名 SessionReaper),CVSS 评分为 9.1(满分 10.0)。它被描述为不正确的输入验证缺陷。Adobe 表示,它不知道有任何漏洞。
“潜在的攻击者可以通过 Commerce REST API 接管 Adobe Commerce 中的客户帐户,”Adobe 在今天发布的公告中表示。
该问题影响以下产品和版本 –
Adobe Commerce(所有部署方法):
- 2.4.9-alpha2 及更早版本
- 2.4.8-p2 及更早版本
- 2.4.7-p7 及更早版本
- 2.4.6-p12 及更早版本
- 2.4.5-p14 及更早版本
- 2.4.4-p15 及更早版本
Adobe Commerce B2B:
- 1.5.3-alpha2 及更早版本
- 1.5.2-p2 及更早版本
- 1.4.2-p7 及更早版本
- 1.3.4-p14 及更早版本
- 1.3.3-p15 及更早版本
Magento开源:
- 2.4.9-alpha2 及更早版本
- 2.4.8-p2 及更早版本
- 2.4.7-p7 及更早版本
- 2.4.6-p12 及更早版本
- 2.4.5-p14 及更早版本
自定义属性可序列化模块:
- 版本 0.1.0 至 0.4.0
Adobe 除了发布针对该漏洞的修补程序外,还表示已部署 Web 应用程序防火墙 (WAF) 规则,以保护环境免受可能针对在云基础设施上使用 Adobe Commerce 的商家的利用企图。
“SessionReaper 是其历史上最严重的 Magento 漏洞之一,可与 Shoplift(2015 年)、Ambionics SQLi(2019 年)、TrojanOrder(2022 年)和 CosmicSting(2024 年)相媲美,”电子商务安全公司 Sansec 表示。
这家总部位于荷兰的公司表示,它成功地重现了一种利用 CVE-2025-54236 的可能方法,但指出还有其他可能的途径将该漏洞武器化。
“该漏洞遵循去年 CosmicSting 攻击的熟悉模式,”它补充道。“该攻击将恶意会话与 Magento REST API 中的嵌套反序列化错误相结合。”
“特定的远程代码执行向量似乎需要基于文件的会话存储。但是,我们建议使用 Redis 或数据库会话的商家也立即采取行动,因为有多种方法可以滥用此漏洞。
Adobe 还发布了修复程序,以包含 ColdFusion 中的关键路径遍历漏洞(CVE-2025-54261,CVSS 评分:9.0),该漏洞可能导致任意文件系统写入。它会影响所有平台上的 ColdFusion 2021(Update 21 及更早版本)、2023(Update 15 及更早版本)和 2025(Update 3 及更早版本)。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
