Adobe修補應用程式開發平臺、電子商務管理平臺重大層級資安漏洞

Adobe昨天（9日）發布9月份每月例行更新，對旗下9款應用程式發布修補程式，其中應用程式開發平臺ColdFusion、電子商務管理平臺Adobe Commerce的重大漏洞，特別值得留意，Adobe呼籲用戶應優先處理。

首先要緩解的產品是ColdFusion，這次Adobe揭露的漏洞編號為CVE-2025-54261，此為路徑遍歷（Path Traversal）弱點，攻擊者有機會藉此寫入任意系統檔案，影響2021、2023、2025版ColdFusion，CVSS風險評為9.0（滿分10分）。值得留意的是，Adobe將其評為優先程度第1級的資安公告，代表這項漏洞帶來的資安風險較高，雖然目前尚未發現遭到利用的跡象，但他們還是呼籲IT人員要儘速處理。有鑑於Adobe要求用戶優先處理ColdFusion資安漏洞的狀況並非首例，今年他們就在4月、5月提出類似警告，因此這樣的情況不能掉以輕心。

另一個需要優先處理的重大層級漏洞CVE-2025-54236（又被稱為SessionReaper），出現在Adobe Commerce及Magento Open Source，為輸入驗證不當漏洞，可用於繞過安全功能，而且，攻擊者想要利用這項漏洞，無須取得管理員權限，甚至不需通過身分驗證。此漏洞風險值為9.1，Adobe將其修補的優先程度列為第2級。

雖然Adobe並未透露其他細節，但提供Magento防護的資安業者Sansec提出警告，這項漏洞有可能導致未經授權的攻擊者奪走電子商城的控制權，駭客恐怕會透過自動化的方式將漏洞用於攻擊活動，呼籲商家最好立即採取行動。

Sansec指出另一項不尋常的地方，那就是這項漏洞Adobe已在正式發布資安公告前，向部分客戶提供修補程式。8月下旬Adobe接獲通報後，9月4日就通知部分用戶。

而對於這項漏洞帶來的影響，他們也引述通報者Blaklis的說法，攻擊者可用於發動遠端執行任意程式碼（RCE）攻擊，Adobe的公告並未提及此事。