Магазины Magento массово взломаны ночью из-за уязвимости Adobe Commerce
Компания Sansec, специализирующаяся на безопасности в сфере электронной коммерции, сообщила о серии кибератак на магазины, работающие на платформах Adobe Commerce и Magento с открытым исходным кодом. Только за последние сутки злоумышленники предприняли свыше 250 попыток взломать системы более чем 250 магазинов.
Обнаруженная уязвимость, известная под кодом CVE-2025-54236, получила оценку CVSS 9,1. Она представляет собой критическую ошибку, связанную с некорректной проверкой входных данных, что позволяет злоумышленникам получить доступ к учётным записям клиентов через REST API Adobe Commerce.
Эта уязвимость, также именуемая SessionReaper, была устранена компанией Adobe ещё в прошлом месяце. Исследователь безопасности под ником Blaklis сообщил о найденной проблеме и ответственно раскрыл информацию.
Голландская компания отметила, что 62% магазинов, использующих Magento, до сих пор остаются уязвимыми, несмотря на прошедшие шесть недель с момента публикации информации об уязвимости. Администраторам сайтов настоятельно рекомендуется установить исправления как можно скорее, чтобы предотвратить дальнейшие атаки. Adobe обновила свои рекомендации, подтвердив случаи эксплуатации уязвимости CVE-2025-54236 в реальных условиях.
Атаки исходили с нескольких IP-адресов, где злоумышленники пытались установить PHP-веб-шеллы или проверяли phpinfo для получения информации о конфигурации PHP:
34.227.25.14
44.212.43.134
54.205.171.135
155.117.84.1134
159.89.12.1166
Как сообщил Sansec, злоумышленники загружали PHP-бэкдоры через ‘/customer/address_file/upload’, используя поддельные сеансы.
Эта уязвимость стала второй проблемой, связанной с десериализацией, которая затронула платформы Adobe Commerce и Magento за последние годы. В июле 2024 года была выявлена другая критическая уязвимость под названием CosmicSting (CVE-2024-34102, оценка CVSS: 9,8).
В связи с тем, что информация о PoC-эксплойтах становится общедоступной, пользователям крайне важно оперативно применять исправления и обеспечивать безопасность своих систем.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
OnePlus 15: топовый смартфон с Snapdragon 8 Elite Gen 5 и долгой батареей
Новейший флагман OnePlus 15 успешно прошёл процедуру сертификации на китайском портале TENAA и был зарегистрирован в базе данных Geekbench, раскрыв ключевые технические характеристики устройства.
Smishing Triad управляет сотнями тысяч вредоносных сайтов
По свежим сведениям подразделения Unit 42 компании Palo Alto Networks, преступная группа, известная как Smishing Triad, развернула глобальную кампанию по кибер-мошенничеству, создав более 194 тыс. вредоносных доменов с начала 2024 года.
«Jingle Thief»: раскрыта многомиллионная облачная мошенническая схема
Эксперты по информационной безопасности раскрыли механизм функционирования криминальной группы под названием «Jingle Thief», которая специализируется на краже средств посредством манипуляции подарочными картами путем проникновения в облачные сети компаний ритейла и сферы обслуживания.