أصدرت شركة Adobe تحديثاتها الدورية لشهر سبتمبر 2025، والتي شملت معالجة نحو عشرين ثغرة أمنية في تسعة من منتجاتها، من بينها ثغرات حرجة في ColdFusion وCommerce. وتُعد هذه التحديثات جزءاً من جهود الشركة لحماية عملائها من الهجمات السيبرانية المتزايدة.
الثغرة الأشد خطورة التي تم إصلاحها في ColdFusion تحمل الرمز CVE-2025-54261، وحصلت على درجة خطورة 9.0 وفق تصنيف CVSS. وأوضحت الشركة أنها تتعلق بخلل من نوع Path Traversal قد يسمح بالكتابة على ملفات النظام بشكل غير مشروع. وتشمل هذه الثغرة إصدارات ColdFusion 2021 و2023 و2025 على جميع المنصات. ورغم عدم وجود دلائل على استغلالها حالياً، فقد صنفتها Adobe ضمن الأولوية القصوى بدرجة (1)، ما يعني ضرورة معالجتها خلال 72 ساعة من إطلاق التحديث.
الهجمات على ColdFusion ليست جديدة، إذ سبق أن استغل مهاجمون ثغرة CVE-2024-20767 التي جرى إصلاحها في مارس 2024، وتم تسجيل استغلالها لاحقاً في ديسمبر من العام نفسه. وتشير عمليات المسح على الإنترنت إلى أن مئات الآلاف من نسخ ColdFusion لا تزال مكشوفة على الشبكة، ما يجعلها عرضة للاختراق.
أما الثغرة الحرجة الأخرى فهي CVE-2025-54236، التي تؤثر على كل من Commerce وMagento Open Source، ويمكن لمهاجم غير موثق استغلالها لتجاوز إحدى آليات الحماية. وأكدت شركة الأمن السيبراني Sansec أن التحديث الخاص بهذه الثغرة قد تسرب بالخطأ في الأسبوع الماضي، ما يمنح المهاجمين فرصة مبكرة لتطوير أدوات استغلالها. وأطلقت Sansec على هذه الثغرة اسم SessionReaper محذرة من أنها قد تؤدي إلى الاستيلاء على الحسابات أو تنفيذ أوامر عن بعد دون الحاجة إلى تسجيل دخول.
إلى جانب ذلك، عالجت Adobe ثغرات عالية الخطورة في منتجات أخرى مثل Acrobat Reader وPremiere Pro وSubstance 3D Viewer وExperience Manager وDreamweaver وSubstance 3D Modeler. ورغم أن الشركة صنفتها في نشراتها الرسمية على أنها حرجة، إلا أن تقييم CVSS وضعها ضمن فئة عالية الخطورة. وتشمل هذه الثغرات إمكانية تنفيذ تعليمات برمجية غير مصرح بها أو تجاوز أنظمة الحماية.
كما عالجت الشركة ثغرات متوسطة ومنخفضة الخطورة في Acrobat Reader وExperience Manager وAfter Effects، قد تؤدي إلى تجاوزات أمنية أو كشف غير مقصود للمعلومات. وحصلت هذه الثغرات على تصنيف أولوية (3)، وهو ما يعني أن الشركة لا تتوقع استغلالها في هجمات وشيكة.
تأتي هذه التطورات في وقت يتزايد فيه اعتماد المؤسسات على أنظمة Adobe، مما يضعها في صلب استهداف المهاجمين. ويؤكد خبراء الأمن السيبراني أن سرعة تطبيق التحديثات الأمنية تمثل خط الدفاع الأول للحد من مخاطر الاستغلال.
