Adobe Commerce 漏洞 CVE-2025-54236 可导致黑客窃取客户账户
Adobe 警告称,其 Commerce 与 Magento 开源平台存在严重漏洞 CVE-2025-54236(SessionReaper),CVSS 评分 9.1,攻击者可通过 REST API 接管客户账户。受影响版本涵盖 Commerce、B2B、Magento 开源及自定义属性可序列化模块。Adobe 已发布修复程序并在云端环境部署 WAF 规则。安全公司 Sansec 称该漏洞危害堪比 Shoplift、TrojanOrder 等历史重大漏洞,利用方式或涉及会话存储与反序列化缺陷。此外,Adobe 还修复了 ColdFusion 任意文件写入漏洞(CVE-2025-54261)。
Adobe警告称,其 Commerce 和 Magento 开源平台存在一个严重的安全漏洞,如果该漏洞被成功利用,攻击者就能够控制客户账户。
该漏洞编号为 CVE-2025-54236(又名 SessionReaper),CVSS 评分为 9.1(满分 10.0)。该漏洞被描述为一个输入验证不当的缺陷。Adobe 表示,目前尚未发现任何已知的利用该漏洞的案例。
Adobe在今天发布的安全公告中表示: “潜在攻击者可能通过 Commerce REST API 接管 Adobe Commerce 中的客户帐户。”
该问题影响以下产品和版本 -
审计及其他
Adobe Commerce(所有部署方法):
2.4.9-alpha2 及更早版本
2.4.8-p2 及更早版本
2.4.7-p7 及更早版本
2.4.6-p12 及更早版本
2.4.5-p14 及更早版本
2.4.4-p15 及更早版本
Adobe Commerce B2B:
1.5.3-alpha2 及更早版本
1.5.2-p2 及更早版本
1.4.2-p7 及更早版本
1.3.4-p14 及更早版本
1.3.3-p15 及更早版本
Magento 开源:
2.4.9-alpha2 及更早版本
2.4.8-p2 及更早版本
2.4.7-p7 及更早版本
2.4.6-p12 及更早版本
2.4.5-p14 及更早版本
自定义属性可序列化模块:
版本 0.1.0 至 0.4.0
Adobe 除了发布针对该漏洞的修补程序外,还表示已部署 Web 应用程序防火墙 (WAF) 规则,以保护环境免受可能针对使用 Adobe Commerce on Cloud 基础设施的商家的攻击。
CIS 构建套件
电子商务安全公司 Sansec表示:“SessionReaper 是 Magento 历史上较为严重的漏洞之一,堪比Shoplift(2015 年)、Ambionics SQLi(2019 年)、TrojanOrder(2022 年)和CosmicSting (2024 年)。”
这家总部位于荷兰的公司表示,它成功重现了利用 CVE-2025-54236 的一种可能方法,但指出还有其他可能的途径来利用该漏洞。
“该漏洞与去年 CosmicSting 攻击的模式类似,”它补充道。“该攻击将恶意会话与 Magento REST API 中的嵌套反序列化漏洞结合在一起。”
特定的远程代码执行向量似乎需要基于文件的会话存储。但是,我们建议使用 Redis 或数据库会话的商家也立即采取行动,因为有多种方法可以滥用此漏洞。
Adobe 还发布了修复程序,以修复 ColdFusion 中的关键路径遍历漏洞 ( CVE-2025-54261,CVSS 评分:9.0)。该漏洞可能导致任意文件系统写入。该漏洞影响所有平台上的 ColdFusion 2021(Update 21 及更早版本)、2023(Update 15 及更早版本)和 2025(Update 3 及更早版本)。
关于作者
评论0次