官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Adobe公司打破常规补丁发布周期,紧急修复被Sansec命名为SessionReaper的漏洞(编号CVE-2025-54236)。该漏洞被认为是Magento历史上最严重的漏洞之一,可能在公开后数小时内导致数千家网店遭受自动化攻击。
紧急补丁提前发布
Sansec安全团队报告称:"Adobe打破常规补丁周期,将在未来24小时内发布CVE-2025-54236的紧急修复程序。预计会出现自动化攻击,商家应立即采取行动。"原定于2025年10月14日的月度补丁日被提前至9月9日14:00(UTC时间)。
该漏洞的严重程度使其与Magento历史上臭名昭著的漏洞齐名:
- Shoplift(2015年)
- Ambionics SQL注入(2019年)
- TrojanOrder(2022年)
- CosmicSting(2024年)
报告强调:"每次漏洞公开后,都有数千家网店在数小时内被攻破。"
开源用户预警缺失
Adobe已向其Commerce客户发出预先通知,但未向开源版Magento用户提供预警,这引发开源社区对关键安全更新缺乏事前警告的不满。
技术危害分析
SessionReaper漏洞针对Magento的WebAPI ServiceInputProcessor组件,通过恶意输入处理可劫持用户会话或操纵敏感数据。鉴于Magento在电商领域的广泛应用,漏洞利用可能导致大规模信用卡盗窃、账户接管或获取管理员权限。
Sansec警告称自动化攻击工具可能迅速出现:"预计会出现自动化攻击,商家应立即采取行动。"目前网络流传一个名为"MCLOUD-14016补丁"的概念验证修复方案,但其稳定性和完整性尚未得到验证。
应急建议
商家应立即采取以下措施:
- 补丁发布后立即安装紧急更新
- 若无法立即打补丁,应禁用或保护执行器端点,并监控可疑会话活动日志
- 部署Sansec Shield等防护工具(该公司确认该工具已能缓解此攻击向量)
参考来源:
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)