Adobe Commerce FLAW CVE-2025-54236 Laat hackers klantaccounts overnemen

Cyberbeveiliging
Adobe Commerce FLAW CVE-2025-54236 Laat hackers klantaccounts overnemen

Adobe heeft gewaarschuwd voor een kritische beveiligingsfout in zijn handel en magento open source platforms die, indien met succes uitgebuit, aanvallers in staat zouden kunnen stellen de controle over klantaccounts te nemen.

De kwetsbaarheid, gevolgd als CVE-2025-54236 (AKA SessionReaper), draagt ​​een CVSS-score van 9,1 op een maximum van 10,0. Het is beschreven als een onjuiste invoervalidatiefout. Adobe zei dat het niet op de hoogte is van exploits in het wild.

“Een potentiële aanvaller zou klantaccounts in Adobe Commerce kunnen overnemen via de Commerce Rest API,” zei Adobe in een advies dat vandaag is uitgegeven.

Het probleem heeft invloed op de volgende producten en versies –

Adobe Commerce (alle implementatiemethoden):

  • 2.4.9-alfa2 en eerder
  • 2.4.8-p2 en eerder
  • 2.4.7-p7 en eerder
  • 2.4.6-p12 en eerder
  • 2.4.5-P14 en eerder
  • 2.4.4-p15 en eerder

Adobe Commerce B2B:

  • 1.5.3-alfa2 en eerder
  • 1.5.2-p2 en eerder
  • 1.4.2-p7 en eerder
  • 1.3.4-p14 en eerder
  • 1.3.3-P15 en eerder

Magento Open Source:

  • 2.4.9-alfa2 en eerder
  • 2.4.8-p2 en eerder
  • 2.4.7-p7 en eerder
  • 2.4.6-p12 en eerder
  • 2.4.5-P14 en eerder

Aangepaste attributen serialiseerbare module:

Adobe zei, naast het vrijgeven van een hotfix voor de kwetsbaarheid, dat het webtoepassing Firewall (WAF) regels heeft geïmplementeerd om omgevingen te beschermen tegen exploitatiepogingen die zich kunnen richten op handelaren met Adobe Commerce op cloudinfrastructuur.

“SessionReaper is een van de meer ernstige magento-kwetsbaarheden in zijn geschiedenis, vergelijkbaar met Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) en Cosmicsting (2024),” zei e-commerce beveiligingsbedrijf Sansec.

Het in Nederland gevestigde bedrijf zei dat het met succes een mogelijke manier heeft gereproduceerd om CVE-2025-54236 te exploiteren, maar merkte op dat er andere mogelijke wegen zijn om de kwetsbaarheid te bewapenen.

“De kwetsbaarheid volgt op een bekend patroon van de kosmicsting -aanval van vorig jaar,” voegde het eraan toe. “De aanval combineert een kwaadaardige sessie met een geneste deserialisatie -bug in Magento’s REST API.”

“De specifieke externe code-uitvoeringsvector lijkt op opslag van bestanden te vereisen. We raden echter verkopers aan om Redis- of databasesessies te gebruiken om ook onmiddellijk actie te ondernemen, omdat er meerdere manieren zijn om deze kwetsbaarheid te misbruiken.”

Adobe heeft ook fixes verzonden om een ​​kritieke padverwegingskwetsbaarheid in ColdFusion te bevatten (CVE-2025-54261, CVSS-score: 9.0) dat zou kunnen leiden tot een willekeurig schrijven van het bestandssysteem. Het heeft invloed op Coldfusion 2021 (update 21 en eerder), 2023 (update 15 en eerder) en 2025 (update 3 en eerder) op alle platforms.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google haalt Pixel 10’s Daily Hub weken na de aankondiging neer

Apple iPhone 17 Pro & 17 Pro Max specificaties

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]