Adobe昨天（9日）发布9月份每月例行更新，对旗下9款应用程序发布修补程序，其中应用程序开发平台ColdFusion、电子商务管理平台Adobe Commerce的重大漏洞，特别值得留意，Adobe呼吁用户应优先处理。

ColdFusion路径遍历漏洞风险高达9.0，Adobe连续数月提醒优先修补

首先需要缓解的产品是ColdFusion，这次Adobe披露的漏洞编号为CVE-2025-54261，这是一个路径遍历（Path Traversal）漏洞，攻击者有可能借此写入任意系统文件，影响2021、2023、2025版ColdFusion，CVSS风险评分高达9.0（满分10分）。

值得注意的是，Adobe将其评为优先等级第1级的安全公告，意味着该漏洞带来的安全风险较高。尽管目前尚未发现被利用的迹象，但Adobe仍呼吁IT人员尽快处理。事实上，这并非Adobe首次要求用户优先修补ColdFusion的安全漏洞，今年4月和5月也曾发出类似警告，因此此类情况不容忽视。

Adobe Commerce输入验证漏洞CVE-2025-54236（SessionReaper），可被用于绕过安全机制

另一个需要优先处理的重大漏洞为CVE-2025-54236（又被称为SessionReaper），出现在Adobe Commerce及Magento Open Source中，属于输入验证不严的漏洞，攻击者可利用其绕过安全限制。

更严重的是，攻击者无需管理员权限，甚至不需要通过身份验证即可利用此漏洞。该漏洞的风险评分为9.1分，Adobe将其修复优先等级列为第2级。

虽然Adobe并未披露更多细节，但为Magento提供安全防护的安全厂商Sansec发出警告，该漏洞可能使未经授权的攻击者夺取电商网站的控制权，黑客可能通过自动化手段对该漏洞进行大规模攻击，呼吁商家尽快采取应对措施。

漏洞修补提前通知部分用户，专家指出可能实现远程代码执行

Sansec指出另一个异常之处是，Adobe在正式发布安全公告前，已向部分客户提供了修补程序。8月下旬Adobe收到通报后，于9月4日便通知部分用户。

此外，他们还引用漏洞通报者Blaklis的说法指出，攻击者可能利用该漏洞实施远程执行任意代码（RCE）攻击，但Adobe的公告中并未提及这一点。