Công ty Cổ phần Công nghệ và An ninh mạng Bình Minh Việt Nam (VietSunrise) là đơn vị tiên phong trong lĩnh vực công nghệ và an ninh mạng Việt Nam, tiền thân là Trung tâm an toàn thông tin trực thuộc Công ty cổ phần Ứng dụng Công Nghệ Viễn Thông Bình Minh (BMA)

Gallery

Contacts

Lô 36, Khu đô thị Gamuda, Hoàng Mai, Hà Nội, Việt Nam

info@vietsunrise.com.vn

(+84) 898.59.29.29

Youtube Facebook-f

Cybersecurity News

Cybersecurity News
_

Lỗ hổng phần mềm Adobe cho phép hacker kiểm soát tài khoản người dùng.

Adobe cảnh báo về một lỗ hổng bảo mật nghiêm trong trên phần mềm thương mại và nền tảng mã nguồn mở Magento, nếu khai thác thành công, có thể cho phép hacker kiểm soát tài khoản người dùng.

Lỗ hổng bảo mật CVE-2025-54236 (SessionReaper), với số điểm CVSS 9.1/10 cho thấy mức độ nghiêm trọng của lỗ hổng. Nó được mô tả là một lỗ hổng liên quan tới xác thực dữ liệu đầu vào. Adobe cho biết họ chưa thấy bất kỳ tấn công nào được ghi nhận sử dụng CVE này.
Lỗ hổng bảo mật ảnh hưởng tới các sản phẩm và phiên bản:

Adobe Commerce
2.4.9-alpha2 và cũ hơn
2.4.8-p2 và cũ hơn
2.4.7-p7 và cũ hơn
2.4.6-p12 và cũ hơn
2.4.5-p14 và cũ hơn
2.4.4-p15 và cũ hơn

Adobe Commerce
2.4.9-alpha2 và cũ hơn
2.4.8-p2 và cũ hơn
2.4.7-p7 và cũ hơn
2.4.6-p12 và cũ hơn
2.4.5-p14 và cũ hơn
2.4.4-p15 và cũ hơn

Adobe Commerce B2B:
1.5.3-alpha2 và cũ hơn
1.5.2-p2 và cũ hơn
1.4.2-p7 và cũ hơn
1.3.4-p14 và cũ hơn
1.3.3-p15 và cũ hơn

Magento Open Source:
2.4.9-alpha2 và cũ hơn
2.4.8-p2 và cũ hơn
2.4.7-p7 và cũ hơn
2.4.6-p12 và cũ hơn
2.4.5-p14 và cũ hơn

Adobe đã nhanh chóng thực hiện phát hành bản vá cho lỗ hổng cũng như tạo mới bộ quy tắc trên WAF để có thể bảo vệ các dịch vụ Adobe thương mại đang hoạt động trên nền tảng cloud.

Một công ty tại Hà Lan cho biết họ đã tái tạo thành công một cách có thể khai khác CVE-2025-54236, nhưng lưu ý rằng vẫn còn rất nhiều cách khác để thực hiện khai thác lỗ hổng này.

Lỗ hổng này tuân theo một mô hình quen thuộc từ cuộc tấn công CosmicSting xảy ra vào năm ngoái. Cuộc tấn công kết hợp một session độc hại với một lỗi deserialization được lồng trong REST API của Magento.

Adobe cũng đã phát hành bản vá để khắc phục một lỗ hổng nghiêm trọng về path traversal trong ColdFusion (CVE-2025-54261, điểm CVSS: 9.0) có thể dẫn đến việc ghi tùy ý vào hệ thống tệp. Lỗ hổng này ảnh hưởng đến ColdFusion 2021 (Bản cập nhật 21 trở về trước), 2023 (Bản cập nhật 15 trở về trước) và 2025 (Bản cập nhật 3 trở về trước) trên tất cả các nền tảng.

Bài viết gốc: https://thehackernews.com/2025/09/adobe-commerce-flaw-cve-2025-54236-lets.html

2

Leave a comment

Your email address will not be published. Required fields are marked *