CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-54236

Adobe Commerce/Magento — przejęcie sesji przez Improper Input Validation

CVSS 9.1v3.1pub. 2025-09-09upd. 2026-05-12

Podatność klasy Improper Input Validation (CWE-20) w Adobe Commerce i Magento umożliwia nieuwierzytelnionemu atakującemu przejęcie sesji użytkownika (session takeover). Luka jest aktywnie wykorzystywana, posiada ocenę CVSS 9.1 i nie wymaga żadnej interakcji ze strony ofiary.

Pokaż oryginał (EN)

Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej walidacji danych wejściowych w Adobe Commerce. Atakujący, bez posiadania konta ani konieczności nakłaniania użytkownika do jakiejkolwiek akcji, może dostarczyć spreparowane dane wejściowe do podatnego mechanizmu aplikacji. Skutkuje to przejęciem aktywnej sesji innego użytkownika — w tym potencjalnie administratora sklepu — co daje atakującemu wysoki poziom dostępu do poufnych danych i możliwość modyfikacji zasobów.

Skutki

Atakujący może uzyskać pełną kontrolę nad przejętą sesją, co przekłada się na wysoki wpływ na poufność (dostęp do danych klientów, zamówień, konfiguracji) oraz integralność systemu (możliwość wprowadzania nieautoryzowanych zmian). Podatność nie wpływa bezpośrednio na dostępność systemu.

Mitygacja

Należy niezwłocznie zaktualizować Adobe Commerce i Magento do wersji zawierających poprawkę opisaną w biuletynie bezpieczeństwa producenta APSB25-88 (https://helpx.adobe.com/security/products/magento/apsb25-88.html). Ze względu na aktywne exploitowanie w środowisku produkcyjnym aktualizacja powinna być priorytetem natychmiastowym. Do czasu wdrożenia patcha zaleca się wzmożone monitorowanie sesji oraz rozważenie ograniczenia dostępu do panelu administracyjnego.

Kogo dotyczy

Adobe Commerce oraz Adobe Magento w wersjach: 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejszych. Dotyczy również Adobe Commerce B2B.

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza aktywne wykorzystywanie w środowiskach produkcyjnych. Biuletyn producenta dostępny pod adresem APSB25-88.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Adobe Commerce

    APP
    Adobe
    2.4.42.4.52.4.62.4.72.4.82.4.9
  • Adobe Commerce B2b

    APP
    Adobe
    1.3.31.3.41.4.21.5.21.5.3
  • Adobe Magento

    APP
    Adobe
    2.4.52.4.62.4.72.4.82.4.9

CISA KEV — szczegółyi

Dostawcai
Adobe
Produkti
Commerce and Magento
Data dodania do KEVi
24 października 2025
Termin remediation (USA)i
14 listopada 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Adobe Commerce i Magento Open Source zawierają lukę dotyczącą nieprawidłowej walidacji danych wejściowych, która mogłaby umożliwić atakującemu przejęcie kont klientów poprzez Commerce REST API.

tłumaczenie AI
Pokaż oryginał (EN)

Adobe Commerce and Magento Open Source contain an improper input validation vulnerability that could allow an attacker to take over customer accounts through the Commerce REST API.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 14 listopada 2025
CWE
Referencje

Powiązane podatności

CVE-2024-34102CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Krytyczna podatność XXE w Adobe Commerce umożliwiająca RCE

CVE-2022-24086CRITICAL9.8⚠ KEVten sam produkt

Adobe Commerce versions 2.4.3-p1 (and earlier) and 2.3.7-p2 (and earlier) are affected by an improper input va...

CVE-2025-24434CRITICAL9.1PL ✓ten sam produkt

Adobe Commerce — Incorrect Authorization umożliwiające privilege escalation

CVE-2024-45115CRITICAL9.8PL ✓ten sam produkt

Adobe Commerce — nieprawidłowe uwierzytelnienie umożliwiające privilege escalation

CVE-2024-39397CRITICAL9.0PL ✓ten sam produkt

Adobe Commerce — RCE poprzez nieograniczony upload niebezpiecznych plików