CVE-2025-54236｜Adobe Commerce存在安全绕过漏洞（POC）

0x00 前言

Adobe Commerce（原Magento）是Adobe公司推出的企业级云原生电商平台，专为B2B和B2C企业设计，提供端到端的数字商务解决方案。

该平台以API优先的架构和可组合式开发模式为核心，支持与700多个第三方系统（如ERP、CRM）的预建集成，显著降低开发成本。

其云原生特性实现自动扩展和托管服务，结合AI驱动的个性化工具（如实时推荐引擎）和集中式商业智能分析，可提升客户转化率与运营效率。

平台还具备多语言/多币种支持、PWA移动端优化及SEO工具集，适用于全球化部署，并通过与Adobe Experience Cloud的深度整合实现跨渠道数据统一。

0x01 漏洞描述

漏洞针对Magento的WebAPI ServiceInputProcessor组件，通过恶意输入处理可劫持用户会话或操纵敏感数据。

0x02 CVE编号

CVE-2025-54236

0x03 影响版本

Adobe Commerce（所有部署方式）：
2.4.9-alpha2及更早版本
2.4.8-p2及更早版本
2.4.7-p7及更早版本
2.4.6-p12及更早版本
2.4.5-p14及更早版本
2.4.4-p15及更早版本

Adobe Commerce B2B：
1.5.3-alpha2及更早版本
1.5.2-p2及更早版本
1.4.2-p7及更早版本
1.3.4-p14及更早版本
1.3.3-p15及更早版本

Magento开源版：
2.4.9-alpha2及更早版本
2.4.8-p2及更早版本
2.4.7-p7及更早版本
2.4.6-p12及更早版本
2.4.5-p14及更早版本

Custom Attributes Serializable模块：
0.1.0至0.4.0版本

0x04 漏洞详情

POC：

https://github.com/amalpvatayam67/day01-sessionreaper-lab

0x05 参考链接

https://helpx.adobe.com/hk_zh/security/products/magento/apsb25-88.html