خانه » CVE-2025-54236
هشدار‌های سایبری

CVE-2025-54236

Adobe Commerce | Improper Input Validation

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 267 بازدید
هشدار سایبری CVE-2025-54236
  • شناسه CVE-2025-54236 :CVE
  • CWE-20 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 9, 2025
  • به روز شده: سپتامبر 9, 2025
  • امتیاز: 9.1
  • نوع حمله: Input injection
  • اثر گذاری: Security Feature Bypass
  • حوزه: سیستم مدیریت محتوا
  • برند: Adobe
  • محصول: Adobe Commerce
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی اعتبارسنجی نادرست ورودی در Adobe Commerce شناسایی شده است. این ضعف زمانی رخ می‌دهد که برنامه ورودی‌های کاربر را به‌درستی بررسی و پاک‌سازی نمی‌کند؛ در نتیجه مهاجم می‌تواند مکانیزم‌های امنیتی را دور بزند (security feature bypass) و از طریق REST API به‌طور مستقیم با سرویس تعامل کند. مهاجم از راه دور و بدون نیاز به احراز هویت یا دسترسی مدیریتی می‌تواند از این ضعف برای تصاحب نشست سوءاستفاده کند و تأثیر بر محرمانگی و یکپارچگی داده‌ها را به سطح بالا برساند.

توضیحات

آسیب‌پذیری CVE-2025-54236 ناشی از اعتبارسنجی نادرست ورودی مطابق با  CWE-20 در Adobe Commerce است. این ضعف زمانی رخ می‌دهد که برنامه ورودی‌های ساختاریافته را به‌درستی بررسی و پاک‌سازی نمی‌کند؛ در نتیجه مهاجم می‌تواند مکانیزم‌های امنیتی را دور زده(Security feature bypass)  و از طریق REST API به‌طور مستقیم با سرویس تعامل کند. Adobe Commerce (که قبلاً Magento نامیده می‌شد) یک پلتفرم تجارت الکترونیک متن باز است که برای فروشگاه‌های آنلاین استفاده می‌شود.

مهاجم می‌تواند بدون احراز هویت و بدون دسترسی مدیریتی، از این ضعف سوءاستفاده کند تا نشست کاربر را تصاحب نماید که این امر دسترسی به داده‌های حساس مانند اطلاعات حساب، سفارش‌ها و پرداخت‌ها را فراهم می‌آورد. علاوه بر این، بهره‌برداری می‌تواند منجر به اجرای کد از راه دور (RCE) شود، زیرا مهاجم با آپلود یک فایل مخرب (مثلاً PHP webshell) و دستکاری پارامتر savePath هنگام ایجاد سفارش، می‌تواند فایل را در دایرکتوری‌های قابل دسترس وب (مانند /pub/) قرار دهد و سپس آن را اجرا کند.

بهره‌برداری از این آسیب‌پذیری به‌سادگی قابل خودکارسازی است؛ مهاجم با اسکریپت‌های اتوماسیون (مثلاً Python) یا ابزارهای خودکار، بدون تعامل کاربر و تنها با ارسال درخواست‌هایی به REST API می‌تواند پارامترهای دستکاری‌شده را تزریق کند، فرایند آپلود فایل و ایجاد سفارش جعلی را انجام دهد و نهایتاً نشست را تصاحب یا RCE را محقق سازد. این توالی عملیاتی معمولاً شامل آپلود فایل، ایجاد سفارش با مقادیر ساختگی برای savePath و فراخوانی مستقیم فایل آپلودشده از طریق مرورگر است که قادر به اجرای دستورات shell خواهد بود. پیامدهای آن شامل محرمانگی با افشای داده‌های محرمانه و یکپارچگی با تغییر اطلاعات حساب‌ها و اختلال در قابلیت های امنیتی است. این آسیب پذیری به صورت فعال مورد بهره برداری قرار گرفته و در فهرست KEV  سازمان  CISA ثبت شده است.

کد اثبات مفهومی (PoC) عمومی در GitHub منتشر شده است که یک اسکریپت Python (exploit.py) را ارائه می‌دهد؛ این اسکریپت با استفاده از ابزارphpggc برای مبهم سازی پیلود، فایل را آپلود می‌نماید و با دستکاری savePath در ایجاد سفارش، اجرای کد از راه دور را محقق می‌سازد. این آسیب پذیری با هات‌فیکس رسمی (Hotfix) که با نسخه‌های 2.4.4 تا 2.4.7 سازگار است، پچ شده و توصیه می‌شود کاربران بلافاصله آن را اعمال کنند.

CVSS

Score Severity Version Vector String
9.1 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

لیست محصولات آسیب پذیر

Versions Product
affected from 0 through 2.4.4-p15 Adobe Commerce

لیست محصولات بروز شده

Versions Product
versions between 2.4.4 – 2.4.7 Adobe Commerce

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Adobe Commerce را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
4,260 site:.ir “Adobe Commerce” Adobe Commerce

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Adobe Commerce، با پتانسیل تصاحب نشست و اجرای کد از راه دور از طریق اعتبارسنجی نادرست ورودی، تهدیدی جدی برای پلتفرم‌های تجارت الکترونیک است و با توجه به بهره‌برداری فعال در و قرارگیری در فهرست KEV ، نیازمند اقدام فوری است. برای جلوگیری از بهره‌برداری و کاهش ریسک، اجرای اقدامات زیر توصیه می شود:

  • به‌روزرسانی فوری: هات‌فیکس رسمی Adobe (APSB25-88) یا نسخه منتشرشده را فوراً دانلود و اعمال کنید. (Hotfix / Vendor patch)
  • اعتبارسنجی ورودی: در API REST، ورودی‌های حساس مانند savePath و پارامترهای سفارش را با regex یا کتابخانه‌های امن (مانند OWASP ESAPI) سمت سرور اعتبارسنجی کنید تا دستکاری مسیرها مسدود شود.
  • محدودسازی دسترسی و احراز هویت: API REST را با احراز هویت قوی (مانند OAuth 2.0) و محدودیت نرخ (Rate Limiting) محافظت کنید؛ دسترسی‌های غیرضروری به اندپوینت ها را غیرفعال سازید.
  • محدودسازی مجوزهای فایل: مجوزهای نوشتن (write permissions) وب‌سرور را برای دایرکتوری‌هایی که پیلود ممکن است نوشته شود (مثلاً PAYLOAD_OUT یا /pub/) بازبینی و سخت‌تر کنید؛ مالکیت و مجوزها را طوری تنظیم کنید که امکان نوشتن فایل‌های دلخواه وجود نداشته باشد.
  • فایروال‌ها و تشخیص نفوذ (Firewalls / IDS / IPS): قوانین فایروال اپلیکیشن وب (مثلاً Cloudflare, AWS WAF) را برای شناسایی و مسدودسازی الگوهای آپلود + ایجاد سفارش + دستکاری savePath پیاده‌سازی کنید و هم‌زمان لاگ‌های IDS/IPS را برای یافتن نشانه‌های بهره‌برداری بررسی و تحلیل نمایید.
  • نظارت و ثبت لاگ: : لاگ‌های API، آپلودها و ایجاد سفارش را با ابزارهای SIEM (مثلاً ELK Stack یا Splunk) مانیتور کنید تا درخواست‌های مشکوک سریع شناسایی شوند..
  • ایزوله‌سازی و کاهش برد حمله: سرویس‌ها را در محیط‌های ایزوله (مانند Docker و cloud instances) اجرا کنید و محدودیت‌های شبکه‌ای را اعمال نمایید.
  • تست امنیتی: سیستم را با ابزارهایی مانند Burp Suite یا OWASP ZAP برای سناریوهای تصاحب نشست و اجرای کد از راه دور اسکن کنید؛ از تست نفوذ منظم و Fuzzing (تست ورودی‌های تصادفی) بهره ببرید.
  • آموزش: تیم‌ها را نسبت به BOD 22-01 (CISA) و روش های گزارش‌دهی آماده کنید؛ در صورت عدم امکان سریع پچ، استفاده از محصول را موقتاً متوقف کنید.

اجرای این اقدامات، به ویژه  اعمال هات‌فیکس و تقویت API، ریسک تصاحب نشست و اجرای کد از راه دور را به حداقل می‌رساند و امنیت فروشگاه‌های آنلاین Adobe Commerce را در برابر حملات واقعی حفظ می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری اعتبارسنجی نادرست در ورودی‌های REST API اجازه می‌دهد مهاجمِ غیرمستند با ارسال درخواست‌های دستکاری‌شده، پارامترهای ساختاریافته مثلاً nested JSON یا savePath را تزریق کند و پروسه‌ای را آغاز کند که منجر به آپلود فایل یا تصاحب نشست می‌شود

Credential Access (TA0006)
اگرچه بهره‌برداری اصلی نیازی به اعتبارنامه ندارد، تصاحب نشست (session takeover) عملاً به مهاجم امکان دسترسی به داده‌های حساب کاربری را می‌دهد

Privilege Escalation (TA0004)
پس از آپلود وب‌شل یا تصاحب نشست، مهاجم می‌تواند از مجوزهای حساب یا سرویس برای انجام تغییرات مدیریتی سوءاستفاده کند

Collection (TA0009)
حاصلِ موفقیت‌آمیزِ حمله، جمع‌آوری اطلاعات حساب‌ها، سفارش‌ها و احتمالاً داده‌های پرداختی است

Exfiltration (TA0010)
دسترسی به جداول حساب یا لاگ‌ها می‌تواند منجر به خروج داده‌ها شود.

Defense Evasion (TA0005)
استفاده از nested/obfuscated payloadها و تغییر رفتار برای فرار از قواعد WAF/IDS گزارش شده است

Lateral Movement (TA0008)
در صورت موفقیت، مهاجم می‌تواند از یک فروشگاه به میزبان‌های دیگر یا دیتابیس متصل حرکت کند. مثلاً از طریق سرویس‌های داخلی یا credentials کشف‌شده این امر ممکن است.

Impact (TA0040)
تأثیر فنی اصلی شامل Bypass مکانیزم‌های امنیتی، تصاحب نشست‌های مشتریان که می‌تواند محرمانگی و یکپارچگی داده‌ها را به شدت تحت تأثیر قرار دهد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-54236
  2. https://www.cvedetails.com/cve/CVE-2025-54236/
  3. https://helpx.adobe.com/security/products/magento/apsb25-88.html
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54236
  5. https://vuldb.com/?id.323209
  6. https://github.com/crondenice/CVE-2025-54236
  7. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-54236
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-54236
  9. https://cwe.mitre.org/data/definitions/20.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.