VietNetwork.Vn

Adobe đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong nền tảng Commerce và Magento Open Source, nếu khai thác thành công, có thể cho phép kẻ tấn công kiểm soát tài khoản khách hàng.

Lỗ hổng bảo mật này, được theo dõi với tên gọi CVE-2025-54236 (hay còn gọi là SessionReaper), có điểm CVSS là 9,1 trên thang điểm tối đa là 10,0. Nó được mô tả là một lỗi xác thực đầu vào không đúng. Adobe cho biết họ chưa phát hiện bất kỳ lỗ hổng nào trên thực tế.


Adobe cho biết trong một thông báo được đưa ra ngày hôm nay: "Kẻ tấn công tiềm năng có thể chiếm đoạt tài khoản khách hàng trong Adobe Commerce thông qua Commerce REST API".

Sự cố này ảnh hưởng đến các sản phẩm và phiên bản sau:

Adobe Commerce (tất cả các phương pháp triển khai):

    2.4.9-alpha2 và các phiên bản trước đó
    2.4.8-p2 và các phiên bản trước đó
    2.4.7-p7 và các phiên bản trước đó
    2.4.6-p12 và các phiên bản trước đó
    2.4.5-p14 và trước đó
    2.4.4-p15 và trước đó

Adobe Commerce B2B:

    1.5.3-alpha2 và các phiên bản trước đó
    1.5.2-p2 và các phiên bản trước đó
    1.4.2-p7 và các phiên bản trước đó
    1.3.4-p14 và các phiên bản trước đó
    1.3.3-p15 và trước đó

Magento mã nguồn mở:

    2.4.9-alpha2 và các phiên bản trước đó
    2.4.8-p2 và các phiên bản trước đó
    2.4.7-p7 và các phiên bản trước đó
    2.4.6-p12 và các phiên bản trước đó
    2.4.5-p14 và trước đó

Thuộc tính tùy chỉnh Mô-đun có thể tuần tự hóa:

    Phiên bản 0.1.0 đến 0.4.0

Adobe, ngoài việc phát hành bản sửa lỗi cho lỗ hổng bảo mật, cho biết họ đã triển khai các quy tắc tường lửa ứng dụng web (WAF) để bảo vệ môi trường khỏi các nỗ lực khai thác có thể nhắm vào các thương gia sử dụng cơ sở hạ tầng Adobe Commerce on Cloud.

Công ty bảo mật thương mại điện tử Sansec cho biết : "SessionReaper là một trong những lỗ hổng bảo mật nghiêm trọng nhất của Magento trong lịch sử, tương đương với Shoplift (2015), Ambionics SQLi ( 2019), TrojanOrder (2022) và CosmicSting (2024)".

Công ty có trụ sở tại Hà Lan cho biết họ đã tái tạo thành công một cách có thể khai thác CVE-2025-54236, nhưng lưu ý rằng vẫn còn nhiều cách khác có thể lợi dụng lỗ hổng này.

"Lỗ hổng bảo mật này tuân theo một mô hình quen thuộc từ cuộc tấn công CosmicSting năm ngoái", công ty cho biết thêm. "Cuộc tấn công này kết hợp một phiên độc hại với lỗi giải tuần tự hóa lồng nhau trong REST API của Magento."

"Vector thực thi mã từ xa cụ thể dường như yêu cầu lưu trữ phiên dựa trên tệp. Tuy nhiên, chúng tôi khuyến nghị các thương gia sử dụng Redis hoặc phiên cơ sở dữ liệu nên hành động ngay lập tức, vì có nhiều cách để lợi dụng lỗ hổng này."

Adobe cũng đã phát hành các bản sửa lỗi để ngăn chặn lỗ hổng nghiêm trọng trong ColdFusion ( CVE-2025-54261, điểm CVSS: 9.0) có thể dẫn đến việc ghi hệ thống tệp tùy ý. Lỗ hổng này ảnh hưởng đến ColdFusion 2021 (Bản cập nhật 21 trở về trước), 2023 (Bản cập nhật 15 trở về trước) và 2025 (Bản cập nhật 3 trở về trước) trên tất cả các nền tảng.