2025年9月10日Ravie Lakshmanan脆弱性 / ソフトウェアセキュリティ
Adobeは、CommerceおよびMagento Open Sourceプラットフォームにおける重大なセキュリティ脆弱性について警告しました。この脆弱性が悪用された場合、攻撃者が顧客アカウントを乗っ取る可能性があります。
この脆弱性はCVE-2025-54236(別名SessionReaper)として追跡されており、CVSSスコアは最大10.0のうち9.1です。不適切な入力検証の脆弱性と説明されています。Adobeは現時点で実際の悪用事例は確認していないと述べています。
「潜在的な攻撃者は、Commerce REST APIを通じてAdobe Commerceの顧客アカウントを乗っ取る可能性があります」とAdobeは本日発表したアドバイザリで述べています。
この問題は以下の製品およびバージョンに影響します:
Adobe Commerce(すべてのデプロイ方法):
- 2.4.9-alpha2以前
- 2.4.8-p2以前
- 2.4.7-p7以前
- 2.4.6-p12以前
- 2.4.5-p14以前
- 2.4.4-p15以前
Adobe Commerce B2B:
- 1.5.3-alpha2以前
- 1.5.2-p2以前
- 1.4.2-p7以前
- 1.3.4-p14以前
- 1.3.3-p15以前
Magento Open Source:
- 2.4.9-alpha2以前
- 2.4.8-p2以前
- 2.4.7-p7以前
- 2.4.6-p12以前
- 2.4.5-p14以前
Custom Attributes Serializableモジュール:
- バージョン0.1.0から0.4.0
Adobeはこの脆弱性に対するホットフィックスをリリースしたほか、Adobe Commerce on Cloudインフラを利用するマーチャントを標的とした悪用試行から環境を保護するため、Webアプリケーションファイアウォール(WAF)ルールも適用したと述べています。
「SessionReaperはMagentoの歴史の中でも特に深刻な脆弱性の一つであり、Shoplift(2015年)、Ambionics SQLi(2019年)、TrojanOrder(2022年)、CosmicSting(2024年)に匹敵します」と、eコマースセキュリティ企業Sansecは述べています。
オランダに拠点を置く同社は、CVE-2025-54236を悪用する一つの方法を再現することに成功したと述べていますが、他にもこの脆弱性を悪用する手段が存在すると指摘しています。
「この脆弱性は、昨年のCosmicSting攻撃と同様のパターンに従っています」と同社は付け加えています。「この攻撃は、悪意のあるセッションとMagentoのREST APIにおけるネストされたデシリアライズバグを組み合わせたものです。」
「特定のリモートコード実行ベクトルはファイルベースのセッションストレージを必要とするようですが、Redisやデータベースセッションを利用しているマーチャントも、複数の悪用方法が存在するため、直ちに対応することを推奨します。」
Adobeはまた、ColdFusionにおける重大なパストラバーサル脆弱性(CVE-2025-54261、CVSSスコア:9.0)を修正するアップデートも提供しています。この脆弱性は任意のファイルシステム書き込みにつながる可能性があり、ColdFusion 2021(Update 21以前)、2023(Update 15以前)、2025(Update 3以前)のすべてのプラットフォームに影響します。
翻訳元: https://thehackernews.com/2025/09/adobe-commerce-flaw-cve-2025-54236-lets.html