Adobe昨天(9日)发布9月份每月例行更新,对旗下9款应用程序发布修补程序,其中应用程序开发平台ColdFusion、电子商务管理平台Adobe Commerce的重大漏洞,特别值得留意,Adobe呼吁用户应优先处理。
首先要缓解的产品是ColdFusion,这次Adobe披露的漏洞编号为CVE-2025-54261,此为路径遍历(Path Traversal)弱点,攻击者有机会借此写入任意系统文件,影响2021、2023、2025版ColdFusion,CVSS风险评为9.0(满分10分)。值得留意的是,Adobe将其评为优先程度第1级的安全公告,代表这项漏洞带来的安全风险较高,虽然目前尚未发现遭到利用的迹象,但他们还是呼吁IT人员要尽快处理。有鉴于Adobe要求用户优先处理ColdFusion安全漏洞的状况并非首例,今年他们就在4月、5月提出类似警告,因此这样的情况不能掉以轻心。
另一个需要优先处理的重大层级漏洞CVE-2025-54236(又被称为SessionReaper),出现在Adobe Commerce及Magento Open Source,为输入验证不当漏洞,可用于绕过安全功能,而且,攻击者想要利用这项漏洞,无需取得管理员权限,甚至不需通过身份验证。此漏洞风险值为9.1,Adobe将其修补的优先程度列为第2级。
虽然Adobe并未透露其他细节,但提供Magento防护的安全企业Sansec提出警告,这项漏洞有可能导致未经授权的攻击者夺走电子商城的控制权,黑客恐怕会通过自动化的方式将漏洞用于攻击活动,呼吁商家最好立即采取行动。
Sansec指出另一项不寻常的地方,那就是这项漏洞Adobe已在正式发布安全公告前,向部分客户提供修补程序。8月下旬Adobe接获通报后,9月4日就通知部分用户。
而对于这项漏洞带来的影响,他们也引述通报者Blaklis的说法,攻击者可用于发动远程执行任意程序代码(RCE)攻击,Adobe的公告并未提及此事。
