一、 漏洞 CVE-2025-54236 基础信息
漏洞信息
# Adobe Commerce 输入验证错误漏洞
## 概述
Adobe Commerce 存在输入验证不当漏洞,攻击者可利用该漏洞绕过安全功能。
## 影响版本
受影响版本包括:
- 2.4.9-alpha2
- 2.4.8-p2
- 2.4.7-p7
- 2.4.6-p12
- 2.4.5-p14
- 2.4.4-p15
及更早版本。
## 漏洞细节
该漏洞由于输入验证机制存在缺陷,攻击者可借此进行安全功能绕过。
## 影响
攻击成功可能导致会话接管,显著提升对系统机密性和完整性的威胁。
此漏洞无需用户交互即可利用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Adobe Commerce | Improper Input Validation (CWE-20)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Adobe Commerce 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。 Adobe Commerce存在安全漏洞,该漏洞源于输入验证不当,可能导致会话劫持。以下版本受到影响:2.4.9-alpha2版本、2.4.8-p2版本、2.4.7-p7版本、2.4.6-p12版本、2.4.5-p14版本和2.4.4-p15及之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54236 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | This is a tiny lab that simulates the core idea reported for CVE-2025-54236 (“SessionReaper”) | https://github.com/amalpvatayam67/day01-sessionreaper-lab | POC详情 |
| 2 | Patch for CVE-2025-54236(a.k.a Session Reaper) which allows customer account takeover and RCE under certain conditions. This patch is actually a Magento 2 extension and universal compatible for Magento 2.3 & 2.4. If you cannot upgrade Magento or cannot apply the official hotfix, try this one. | https://github.com/wubinworks/magento2-session-reaper-patch | POC详情 |
| 3 | Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-54236.yaml | POC详情 |
三、漏洞 CVE-2025-54236 的情报信息
四、漏洞 CVE-2025-54236 的评论
暂无评论