← voltar
CVE-2025-54236

Adobe Commerce | Improper Input Validation (CWE-20)

CVSS 9.1 CRITICALEPSS 96.7%● KEVCWE-20
Em resumo

Adobe Commerce possui uma falha que não valida adequadamente dados inseridos pelos usuários, permitindo que atacantes sequestrem sessões de clientes ou administradores sem qualquer ação do usuário. Isso dá acesso total aos atacantes de contas e dados sensíveis.

Detalhe técnico

Validação imprópria de entrada em versões afetadas do Adobe Commerce (2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 e anteriores) permite sequestro de sessão não autenticado. A vulnerabilidade permite que atacantes criem entradas malformadas que contornam controles de validação, levando a estabelecimento de sessão não autorizada sem exigir interação do usuário, resultando em alto impacto em confidencialidade e integridade.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
Adobe · Adobe Commerce
PoCs públicas encontradas7
githubgithub.com/wubinworks/magento2-session-reaper-patch3githubgithub.com/alexb616/SessionReaper-CVE-2025-542361githubgithub.com/Baba01hacker666/cve-2025-542360githubgithub.com/amalpvatayam67/day01-sessionreaper-lab0githubgithub.com/brito101/session_reaper_lab0githubgithub.com/Jenderal92/magento-upload-auto-submit-zoneh0cve_referencenullsecurityx.codes/cve-2025-54236-sessionreaper-unauthenticated-rce-in-magentonão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27397https://helpx.adobe.com/security/products/magento/apsb25-88.htmlhttps://nullsecurityx.codes/cve-2025-54236-sessionreaper-unauthenticated-rce-in-magentohttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-54236