Công ty bảo mật thương mại điện tử Sansec đã cảnh báo rằng các threat actor đã bắt đầu khai thác một lỗ hổng bảo mật mới được tiết lộ trong các nền tảng Adobe Commerce và Magento Open Source, với hơn 250 nỗ lực tấn công được ghi nhận nhắm vào nhiều cửa hàng trong 24 giờ qua.
Lỗ hổng được đề cập là CVE-2025-54236 (điểm CVSS: 9.1), một lỗi improper input validation nghiêm trọng có thể bị lạm dụng để chiếm quyền điều khiển tài khoản khách hàng trong Adobe Commerce thông qua Commerce REST API.
Còn được gọi là SessionReaper, lỗ hổng này đã được Adobe khắc phục vào tháng trước. Một nhà nghiên cứu bảo mật với tên gọi Blaklis được ghi nhận đã phát hiện và công bố một cách có trách nhiệm về CVE-2025-54236.
Công ty Hà Lan cho biết 62% cửa hàng Magento vẫn dễ bị tổn thương bởi lỗ hổng bảo mật này sau sáu tuần công bố công khai, kêu gọi các quản trị viên website áp dụng các bản vá càng sớm càng tốt trước khi hoạt động exploitation rộng rãi hơn diễn ra.
Các cuộc tấn công có nguồn gốc từ các địa chỉ IP sau, với các threat actor không rõ danh tính đang khai thác lỗ hổng để cài đặt PHP webshells hoặc dò tìm phpinfo để trích xuất thông tin cấu hình PHP.
- 34.227.25[.]4
- 44.212.43[.]34
- 54.205.171[.]35
- 155.117.84[.]134
- 159.89.12[.]166
PHP backdoors được tải lên thông qua '/customer/address_file/upload' dưới dạng một fake session.
Sansec cho biết.
Sự việc này diễn ra khi Searchlight Cyber công bố một phân tích kỹ thuật chi tiết về CVE-2025-54236, mô tả đây là một nested deserialization flaw cho phép remote code execution.
Điều đáng chú ý là CVE-2025-54236 là lỗ hổng deserialization thứ hai ảnh hưởng đến các nền tảng Adobe Commerce và Magento trong vài năm trở lại đây. Vào tháng 7 năm 2024, một lỗ hổng nghiêm trọng khác được đặt tên là CosmicSting (CVE-2024-34102, điểm CVSS: 9.8) đã bị khai thác rộng rãi.
Với các proof-of-concept (PoC) exploits và các chi tiết bổ sung hiện đang được công khai, điều cần thiết là người dùng phải nhanh chóng áp dụng các bản sửa lỗi.
