Adobe waarschuwt webwinkels voor actief misbruik van kritiek beveiligingslek

[Captain Kirk]

Adobe waarschuwt webwinkels die gebruikmaken van Adobe Commerce en Magento Open Source voor actief misbruik van een kritieke kwetsbaarheid. Via het beveiligingslek kunnen aanvallers volledige controle over de webshop krijgen. Op 9 september verscheen een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2025-54236, maar volgens securitybedrijf Sansec heeft bijna twee derde van de webwinkels die niet geïnstalleerd.

Adobe omschrijft de kwetsbaarheid als een kritieke "security feature bypass", maar Sansec stelt dat ook remote code execution mogelijk is. Proof-of-concept exploitcode is al beschikbaar op internet en securitybedrijf Assetnote publiceerde gisteren technische details over de kwetsbaarheid, waarin wordt uitgelegd hoe een aanvaller via het lek op afstand code kan uitvoeren.

Sansec waarschuwt dat de kwetsbaarheid vergelijkbaar is met andere kritieke Adobe-kwetsbaarheden die in het verleden op grote schaal zijn gebruikt voor het aanvallen van webshops. "Met details over de exploit nu openbaar en actieve aanvallen die al plaatsvinden, verwachten we binnen de komende 48 uur grootschalig misbruik", aldus het securitybedrijf. Webshops die van Commerce of Magento gebruikmaken worden opgeroepen de update zo snel mogelijk te installeren.

 

bron: https://www.security.nl