در دنیای تجارت الکترونیک، اعتماد کاربر به امنیت داده‌های حساس، ستون فقرات کسب‌وکار است. اما گزارش‌های اخیر امنیتی در سال ۲۰۲۴ و ۲۰۲۵ نشان می‌دهند که حتی غول‌های نرم‌افزاری مانند Adobe نیز با چالش‌های جدی در مدیریت نشست‌ها (Sessions) و اعتبارسنجی ورودی‌ها روبرو هستند. در این مقاله، به بررسی فنی دو مورد از خطرناک‌ترین آسیب‌پذیری‌های اخیر می‌پردازیم که می‌توانستند منجر به تصاحب کامل حساب‌های کاربری و دسترسی غیرمجاز به داده‌های تجاری شوند.

مقدمه: چرا این موضوع اکنون حیاتی است؟

در نیمه اول سال ۲۰۲۵، شاهد جهشی ۱۸ درصدی در تعداد CVEهای منتشر شده بودیم . در این میان، حملات هدفمند به پلتفرم‌های e-commerce افزایش یافته است زیرا این سیستم‌ها مستقیماً با داده‌های مالی و اطلاعات شخصی در ارتباط هستند. آسیب‌پذیری‌هایی مانند SessionReaper و CosmicSting نشان می‌دهند که مهاجمان اکنون بر روی "مدیریت هویت" و "تزریق داده‌های پیچیده" تمرکز کرده‌اند تا بتوانند بدون نیاز به رمز عبور، کنترل کامل سایت‌های فروشگاهی را در دست بگیرند.

شرح فنی آسیب‌پذیری‌ها

۱. SessionReaper (CVE-2025-54236)

این آسیب‌پذیری که با نمره بحرانی ۹.۱ (CVSS) شناسایی شده است، ریشه در «اعتبارسنجی نادرست ورودی‌ها» (Improper Input Validation) دارد .

تحلیل مکانیسم:
در این حالت، مهاجم می‌تواند با ارسال درخواست‌های دست‌کاری شده، فرآیند مدیریت نشست (Session Management) را دور بزند. SessionReaper به مهاجم اجازه می‌دهد تا نشست‌های فعال کاربران یا مدیران را ربوده (Hijack) کرده و بدون داشتن اعتبارنامه‌های صحیح، وارد پنل مدیریت یا حساب‌های مشتریان شود.

۲. CosmicSting (CVE-2024-34102)

این نقص فنی که منجر به مصادره انبوه وب‌سایت‌های تجاری شد، بر روی مکانیزم‌های احراز هویت در Adobe Commerce تمرکز داشت . CosmicSting به مهاجمان اجازه می‌داد تا از طریق نقاط ضعف در APIها، دسترسی‌های سطح بالا کسب کرده و تغییرات سیستمی ایجاد کنند.

نحوه اجرای حمله (Attack Vector)

فرآیند بهره‌برداری از این نقاط ضعف معمولاً در چهار مرحله صورت می‌گیرد:

1. شناسایی (Reconnaissance): مهاجم با اسکن پلتفرم، نسخه Magento/Commerce را شناسایی کرده و بررسی می‌کند که آیا وصله‌های امنیتی (Patches) اعمال شده‌اند یا خیر.

2. تزریق/دست‌کاری (Manipulation): در مورد SessionReaper، مهاجم ورودی‌های غیرمنتظره‌ای را به سرور ارسال می‌کند تا باعث بروز خطا در پردازش توکن‌های نشست شود.

3. ربودن نشست (Session Hijacking): پس از دور زدن اعتبارسنجی، مهاجم یک Session ID معتبر را شبیه‌سازی کرده و خود را به عنوان کاربر قانونی معرفی می‌کند.

4. تثبیت دسترسی (Privilege Escalation): پس از ورود اولیه، مهاجم تلاش می‌کند با استفاده از سایر باگ‌های موجود، دسترسی خود را به سطح Administrator ارتقا دهد.

تأثیرات واقعی و ریسک‌ها

این آسیب‌پذیری‌ها صرفاً تئوری نیستند. گزارش‌ها نشان می‌دهند که:

• compromise انبوه: هزاران سایت فروشگاهی تحت تأثیر CosmicSting قرار گرفتند که منجر به سرقت داده‌های مشتریان و تغییر قیمت محصولات شد .

• دسترسی به داده‌های حساس: مهاجمان می‌توانند به لیست سفارشات، آدرس‌ها و اطلاعات تماس دسترسی پیدا کنند.

• از بین رفتن اعتبار برند: برای یک فروشگاه آنلاین، افشای اینکه حساب‌های مشتریان توسط SessionReaper ربوده شده است، ضربه جبران‌ناپذیری به اعتماد مشتری می‌زند.

روش‌های مقابله و استراتژی‌های امنیتی

برای مقابله با این تهدیدات، مدیران سیستم و توسعه‌دهندگان باید اقدامات زیر را فوراً اجرا کنند:

• به‌روزرسانی فوری (Patch Management): تمامی نسخه‌های Adobe Commerce و Magento Open Source باید به آخرین ورژن آپدیت شوند تا CVE-2025-54236 و CVE-2024-34102 بسته شوند.

• پیاده‌سازی WAF: استفاده از Web Application Firewall برای شناسایی و مسدود کردن درخواست‌های مشکوک که حاوی الگوهای تزریق (Injection) هستند.

• سخت‌سازی مدیریت نشست‌ها:

  • استفاده از توکن‌های نشست با آنتروپی بالا.

  • کوتاه کردن زمان انقضای نشست‌ها (Session Timeout).

  • اتصال نشست به IP و User-Agent کاربر برای جلوگیری از Session Hijacking.

• مانیتورینگ لاگ‌ها: بررسی مداوم لاگ‌های دسترسی برای شناسایی تلاش‌های غیرعادی جهت ورود به پنل مدیریت.

جمع‌بندی تحلیلی

روند سال ۲۰۲۴ و ۲۰۲۵ نشان می‌دهد که حملات از "تلاش برای حدس رمز عبور" به سمت "دور زدن منطق احراز هویت" (Authentication Bypass) حرکت کرده‌اند. آسیب‌پذیری‌هایی مانند SessionReaper هشدار می‌دهند که حتی یک خطای کوچک در اعتبارسنجی ورودی‌ها می‌تواند کل امنیت یک سازمان را به خطر اندازد. در دنیای امروز، امنیت نباید به عنوان یک "پروژه" دیده شود، بلکه باید به عنوان یک "فرآیند مستمر" از طریق تست‌های نفوذ دوره‌ای و به‌روزرسانی‌های سریع مدیریت گردد.