حذّرت شركة Adobe من ثغرة أمنية حرجة في منصتي Adobe Commerce وMagento Open Source قد تتيح للمهاجمين، في حال استغلالها، السيطرة الكاملة على حسابات العملاء.
الثغرة تحمل الرمز CVE-2025-54236 وتُعرف باسم SessionReaper، وقد حصلت على درجة خطورة 9.1 من 10 وفقًا لمقياس CVSS. وأوضحت الشركة أنها ثغرة ناتجة عن خلل في التحقق من مدخلات المستخدم، مشيرة إلى عدم رصد أي استغلال فعلي لها حتى الآن.
المنتجات والإصدارات المتأثرة
تشمل الثغرة الإصدارات التالية:
-
Adobe Commerce: 2.4.9-alpha2 وما قبلها، 2.4.8-p2 وما قبلها، 2.4.7-p7 وما قبلها، 2.4.6-p12 وما قبلها، 2.4.5-p14 وما قبلها، 2.4.4-p15 وما قبلها.
-
Adobe Commerce B2B: 1.5.3-alpha2 وما قبلها، 1.5.2-p2 وما قبلها، 1.4.2-p7 وما قبلها، 1.3.4-p14 وما قبلها، 1.3.3-p15 وما قبلها.
-
Magento Open Source: جميع الإصدارات حتى 2.4.9-alpha2 وما قبلها.
-
Custom Attributes Serializable module: الإصدارات من 0.1.0 حتى 0.4.0.
خطورة الثغرة وأوجه الشبه التاريخية
وصفت شركة Sansec الأمنية الهولندية الثغرة بأنها واحدة من أخطر الثغرات التي عرفتها منصة Magento، وقارنتها بهجمات شهيرة سابقة مثل Shoplift (2015)، Ambionics SQLi (2019)، TrojanOrder (2022)، وCosmicSting (2024).
وأشارت الشركة إلى أن الاستغلال يتم عبر دمج جلسة خبيثة مع ثغرة deserialization متداخلة في واجهة REST API، وهو أسلوب مشابه لهجوم CosmicSting.
إجراءات الحماية العاجلة
أطلقت Adobe تحديثًا عاجلًا (Hotfix) لإغلاق الثغرة، كما نشرت قواعد لجدار الحماية WAF لحماية البيئات المستضافة عبر Adobe Commerce on Cloud من محاولات الاستغلال.
كما أوصت Sansec جميع التجار، حتى من يستخدمون أنظمة جلسات مبنية على Redis أو قواعد البيانات بدلًا من التخزين بالملفات، بالتحرك الفوري نظرًا لتعدد طرق استغلال الثغرة.
ثغرة إضافية في ColdFusion
إلى جانب ذلك، عالجت Adobe ثغرة حرجة أخرى في ColdFusion (CVE-2025-54261، بدرجة CVSS: 9.0) من نوع Path Traversal، قد تسمح بالكتابة التعسفية على نظام الملفات. تؤثر هذه الثغرة على إصدارات ColdFusion 2021 (تحديث 21 وما قبله)، و2023 (تحديث 15 وما قبله)، و2025 (تحديث 3 وما قبله) على جميع المنصات.
