Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Adobe vá lỗ hổng bảo mật nghiêm trọng SessionReaper

08:26 | 17/09/2025
Hồng Đạt

Adobe cảnh báo về lỗ hổng bảo mật nghiêm trọng SessionReaper trong nền tảng thương mại điện tử Magento mã nguồn mở, nếu khai thác thành công có thể cho phép kẻ tấn công kiểm soát hoàn toàn tài khoản người dùng.

Lỗ hổng SessionReaper với mã định danh CVE-2025-54236 (điểm CVSS: 9.1), được mô tả là một lỗi xác thực đầu vào không đúng cách. Thông báo của Adobe nêu rõ: “Kẻ tấn công có thể chiếm đoạt tài khoản khách hàng trong Adobe Commerce thông qua Commerce REST API”.

Công ty bảo mật thương mại điện tử Sansec (Hà Lan) đánh giá: “SessionReaper là một trong những lỗ hổng bảo mật nghiêm trọng nhất của Magento trong lịch sử, tương đương với Shoplift (2015), Ambionics SQLi ( 2019), TrojanOrder (2022) và CosmicSting (2024)”

Ngoài việc phát hành bản vá cho lỗ hổng bảo mật, Adobe đã triển khai các quy tắc tường lửa ứng dụng web (WAF), để bảo vệ môi trường khỏi các nỗ lực khai thác có thể nhắm vào khách hàng sử dụng cơ sở hạ tầng Adobe Commerce on Cloud.

Trong bản tin bảo mật, Adobe thông báo họ không phát hiện bất kỳ hoạt động khai thác nào trên thực tế. Khuyến cáo của Sansec cũng lưu ý rằng các nhà nghiên cứu chưa thấy bất kỳ hoạt động nào đối với SessionReaper.

Theo các nhà nghiên cứu, việc khai thác thành công CVE-2025-54236 có thể phụ thuộc vào việc lưu trữ dữ liệu phiên trên hệ thống tệp, một cấu hình mặc định mà hầu hết các cửa hàng (store) đều sử dụng. Quản trị viên được khuyến nghị mạnh mẽ kiểm tra và triển khai bản vá có sẵn (tải xuống trực tiếp, tệp ZIP) ngay lập tức. Các nhà nghiên cứu cảnh báo bản vá sẽ vô hiệu hóa chức năng Magento nội bộ, có thể dẫn đến một số lỗi mã tùy chỉnh hoặc mã bên ngoài.

Sansec nhận định CVE-2025-54236 có thể bị khai thác thông qua quá trình tự động hóa ở quy mô lớn. Bên cạnh đó, công ty bảo mật đã có thể thử nghiệm khai thác lỗ hổng SessionReaper nhưng không tiết lộ mã hoặc thông tin chi tiết kỹ thuật, chỉ thông báo rằng: “Lỗ hổng này tuân theo một mô hình quen thuộc từ cuộc tấn công CosmicSting vào năm ngoái”.

Trong một diễn biến khác, Adobe cũng đã phát hành các bản vá lỗi để ngăn chặn lỗ hổng nghiêm trọng trong ColdFusion (CVE-2025-54261, điểm CVSS: 9.0) có thể dẫn đến việc ghi hệ thống tệp tùy ý. Lỗ hổng này ảnh hưởng đến ColdFusion 2021 (bản cập nhật 21 trở về trước), ColdFusion 2023 (bản cập nhật 15 trở về trước) và ColdFusion 2025 (bản cập nhật 3 trở về trước) trên tất cả các nền tảng.

Twitter Zalo Facebook YouTube Copy Link QR Code
CVE-2025-54236 MAGENTO LỖ HỔNG BẢO MẬT NGHIÊM TRỌNG ADOBE SESSIONREAPER CẢNH BÁO
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết