Adobe đã phá vỡ lịch trình vá lỗi định kỳ để khắc phục lỗ hổng CVE-2025-54236, một lỗ hổng nghiêm trọng trong các cài đặt Magento Commerce và Magento mã nguồn mở. Lỗ hổng này được đặt tên là “SessionReaper”, cho phép kẻ tấn công bỏ qua việc xác thực đầu vào trong Web API của Magento.

CVE-2025-54236: Tổng quan về SessionReaper

Lỗ hổng SessionReaper cho phép thực hiện các hành vi tự động chiếm quyền điều khiển tài khoản, đánh cắp dữ liệu và thực hiện các đơn đặt hàng gian lận. Điều đáng chú ý là các hành động này không yêu cầu token phiên hợp lệ. Đây là một CVE nghiêm trọng ảnh hưởng trực tiếp đến tính toàn vẹn và bảo mật của các cửa hàng trực tuyến sử dụng Magento.

Adobe sẽ phát hành bản sửa lỗi khẩn cấp vào 14:00 UTC ngày 9 tháng 9, sớm hơn một tháng so với bản cập nhật dự kiến vào ngày 14 tháng 10. Điều này cho thấy mức độ nghiêm trọng của SessionReaper và sự cần thiết phải vá lỗi ngay lập tức để ngăn chặn việc khai thác rộng rãi.

Cơ chế khai thác và Tác động

SessionReaper khai thác một lỗ hổng trong bộ xử lý đầu vào dịch vụ Web API, nơi dữ liệu chưa được làm sạch (unsanitized data) có thể được truyền đến các hàm tạo (constructors) backend. Chi tiết từ một bản vá khái niệm bị rò rỉ cho thấy việc bổ sung kiểm tra để chỉ cho phép các kiểu dữ liệu vô hướng đơn giản (simple scalar types) hoặc các đối tượng dữ liệu API được công nhận, bỏ qua bất kỳ kiểu tham số không mong muốn nào.

Lỗ hổng SessionReaper được đánh giá là một trong những lỗ hổng CVE nghiêm trọng nhất trong lịch sử Magento. Mức độ nghiêm trọng của nó ngang bằng với các lỗ hổng nổi tiếng trước đây như Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) và CosmicSting (2024).

Mỗi cuộc khai thác trước đây đã dẫn đến hàng nghìn cửa hàng bị xâm nhập chỉ trong vài giờ sau khi thông tin được công bố. Điều này nhấn mạnh nguy cơ cao của việc chậm trễ trong việc áp dụng bản vá bảo mật cho lỗ hổng CVE-2025-54236.

Phản ứng khẩn cấp của Adobe và Lịch trình vá lỗi

Adobe đã thảo luận nội bộ về bản vá khẩn cấp này từ ngày 22 tháng 8 và đã cung cấp thông báo trước cho khách hàng Magento Commerce vào ngày 4 tháng 9. Tuy nhiên, người dùng Magento mã nguồn mở lại không nhận được cảnh báo, gây ra sự thất vọng trong cộng đồng về việc thiếu minh bạch. Quyết định của Adobe đẩy nhanh việc sửa lỗi ngoài chu kỳ thông thường nhấn mạnh tính nghiêm trọng của SessionReaper.

Các quản trị viên Magento cần theo dõi trang bảo mật của Adobe để cập nhật thông tin và tải xuống bản vá chính thức ngay sau khi phát hành. Thông báo và liên kết tải bản vá của Adobe sẽ có sẵn tại Trung tâm Bảo mật Magento.

Chi tiết bản vá và Biện pháp khắc phục

Một bản vá khái niệm với mã MCLOUD-14016 cho CVE-2025-54236 đã bị rò rỉ. Bản vá này sửa đổi tệp vendor/magento/framework/Webapi/ServiceInputProcessor.php để thực thi các kiểm tra kiểu tham số nghiêm ngặt. Tuy nhiên, đây là một bản rò rỉ không chính thức và có thể khác với bản phát hành cuối cùng của Adobe. Việc áp dụng nó tiềm ẩn rủi ro và chỉ nên được thực hiện sau khi thử nghiệm kỹ lưỡng.

Sau khi bản vá chính thức được phát hành, chủ cửa hàng nên thực hiện các bước sau:

• Đảm bảo xác thực trong môi trường thử nghiệm (staging validation): Kiểm tra kỹ lưỡng bản vá trong môi trường staging trước khi triển khai lên môi trường sản xuất.
• Triển khai cập nhật lên tất cả các môi trường: Thực hiện trong vòng vài giờ sau khi bản vá được phát hành.
• Vô hiệu hóa các cookie phiên hiện có: Yêu cầu khách hàng xác thực lại để ngăn chặn việc tiếp tục khai thác các phiên cũ.
• Xoay vòng khóa API và thông tin xác thực tài khoản dịch vụ: Thay đổi tất cả các khóa và thông tin xác thực để bảo vệ chống lại việc chiếm quyền điều khiển tài khoản trái phép.
• Giám sát nhật ký: Kiểm tra các nhật ký hệ thống để phát hiện các cuộc gọi Web API đáng ngờ.
• Xem xét các nguồn cấp dữ liệu tấn công trực tiếp: Theo dõi các chỉ số xâm phạm mới nổi (IOC) tại cổng thông tin của Sansec.

Các biện pháp phòng ngừa tạm thời

Cho đến khi bản vá chính thức được xác nhận, các quản trị viên nên bổ sung các biện pháp kiểm soát bù trừ như tường lửa ứng dụng web (WAF) với tính năng xác thực lược đồ JSON nghiêm ngặt để giảm thiểu các cuộc tấn công đang diễn ra. Điều này cung cấp một lớp bảo vệ bổ sung chống lại việc khai thác lỗ hổng CVE-2025-54236.

Tầm quan trọng của việc cập nhật khẩn cấp

Các nhà bán lẻ đang chạy Magento trong môi trường hosting chia sẻ hoặc không được quản lý đặc biệt dễ bị tấn công. Các công cụ tấn công tự động sẽ quét các điểm cuối chưa được vá ngay sau khi thông tin được tiết lộ. Lịch sử khai thác nhanh chóng trong hệ sinh thái Magento, gần đây nhất là với các chiến dịch đánh cắp thẻ tín dụng hàng loạt của CosmicSting, cho thấy rằng việc trì hoãn khắc phục dù chỉ vài giờ cũng có thể dẫn đến vi phạm dữ liệu quy mô lớn và mất doanh thu. Điều này càng làm nổi bật sự cấp thiết của việc áp dụng bản vá bảo mật cho lỗ hổng CVE này.

Cộng đồng Magento phải rút kinh nghiệm từ các sự cố trong quá khứ: quản lý bản vá kỹ lưỡng, phòng thủ đa lớp và giao tiếp kịp thời là những yếu tố thiết yếu để bảo vệ các cửa hàng trực tuyến. Động thái phá vỡ chu kỳ vá lỗi tháng 10 của Adobe là một hành động chưa từng có, cho thấy mức độ nghiêm trọng của SessionReaper. Các nhà bán lẻ nên hành động không chậm trễ, triển khai bản cập nhật khẩn cấp và tăng cường giám sát để ngăn chặn việc lạm dụng tự động, đồng thời bảo vệ dữ liệu khách hàng trước nguy cơ chiếm quyền điều khiển và rò rỉ dữ liệu.