🚨 **严重安全漏洞威胁账户安全：** Adobe Commerce和Magento开源平台存在一个名为SessionReaper（CVE-2025-54236）的严重安全漏洞，CVSS评分为9.1。该漏洞允许攻击者通过Commerce REST API对客户账户进行潜在的接管，对用户数据构成重大风险。

🔧 **Adobe积极应对与防护措施：** Adobe已发布针对该漏洞的热修复程序，并为使用Adobe Commerce云基础设施的商家部署了Web应用防火墙（WAF）规则，以主动防御潜在的利用尝试，确保平台安全。

📈 **历史级漏洞与潜在利用途径：** SessionReaper被电子商务安全公司Sansec称为Magento历史上最严重的漏洞之一，可与之前的重大安全事件相提并论。其利用方式可能涉及恶意会话与Magento REST API中的嵌套反序列化漏洞相结合，尽管具体细节仍在分析中，但多种利用途径均被提及。

📦 **广泛的产品版本受影响：** 该漏洞影响Adobe Commerce（所有部署方式）、Adobe Commerce B2B、Magento开源以及自定义属性可序列化模块的多个版本。用户需尽快升级到最新安全版本以避免风险。

⚠️ **ColdFusion亦存在安全隐患：** 除Commerce平台外，Adobe ColdFusion也修复了一个关键路径遍历漏洞（CVE-2025-54261），该漏洞可能导致任意文件系统写入，影响ColdFusion 2021、2023和2025的多个更新版本。

HackerNews 编译，转载请注明出处：

Adobe警告称，其Commerce和Magento开源平台存在一个严重的安全漏洞，如果被成功利用，可能会使攻击者能够接管客户账户。

该漏洞被追踪为CVE-2025-54236（也称为SessionReaper），其CVSS评分为9.1（满分10.0），被描述为一个不当输入验证漏洞。Adobe表示，目前尚未发现有针对该漏洞的野外利用情况。

“潜在攻击者可以通过Commerce REST API在Adobe Commerce中接管客户账户。”Adobe在今天发布的一份咨询报告中表示。

该问题影响以下产品和版本：

Adobe Commerce（所有部署方式）：

– 2.4.9-alpha2及更早版本
– 2.4.8-p2及更早版本
– 2.4.7-p7及更早版本
– 2.4.6-p12及更早版本
– 2.4.5-p14及更早版本
– 2.4.4-p15及更早版本

Adobe Commerce B2B：

– 1.5.3-alpha2及更早版本
– 1.5.2-p2及更早版本
– 1.4.2-p7及更早版本
– 1.3.4-p14及更早版本
– 1.3.3-p15及更早版本

Magento开源：

– 2.4.9-alpha2及更早版本
– 2.4.8-p2及更早版本
– 2.4.7-p7及更早版本
– 2.4.6-p12及更早版本
– 2.4.5-p14及更早版本

自定义属性可序列化模块：

– 0.1.0至0.4.0版本

除了发布针对该漏洞的热修复程序外，Adobe还表示，已部署网络应用防火墙（WAF）规则，以保护使用Adobe Commerce云基础设施的商家免受可能的利用尝试。

“SessionReaper是Magento历史上更严重的漏洞之一，可与2015年的Shoplift、2019年的Ambionics SQLi、2022年的TrojanOrder和2024年的CosmicSting相提并论。”电子商务安全公司Sansec表示。

这家总部位于荷兰的公司表示，已成功复现了利用CVE-2025-54236的一种可能方式，但指出还有其他可能的途径可以利用该漏洞。

“该漏洞遵循去年CosmicSting攻击的熟悉模式。”它补充道，“该攻击结合了恶意会话和Magento REST API中的嵌套反序列化漏洞。”

“特定的远程代码执行向量似乎需要基于文件的会话存储。然而，我们建议使用Redis或数据库会话的商家也立即采取行动，因为有多种方式可以滥用这个漏洞。”

Adobe还发布了修复程序，以修复ColdFusion中的一个关键路径遍历漏洞（CVE-2025-54261，CVSS评分：9.0），该漏洞可能导致任意文件系统写入。它影响所有平台上的ColdFusion 2021（更新21及更早版本）、2023（更新15及更早版本）和2025（更新3及更早版本）。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文