Sansec Forensics Teamの脅威リサーチャーは、Adobeが所有するオープンソースのeコマースプラットフォームであるAdobe CommerceおよびMagentoにおける重大な脆弱性について警告しています。
9月8日に公開されたレポートで、Sansecはこの脆弱性を「SessionReaper」と名付け、特定の条件下で顧客アカウントの乗っ取りや認証されていないリモートコード実行(RCE)が可能になると警告しました。
この脆弱性は8月、バグ報奨金プラットフォームHackerOne上で‘Blaklis’として知られるセキュリティ研究者によって発見されました。
「毎回、数千のストアがハッキングされ、時には脆弱性が公開されてから数時間以内に被害が発生しています」とSansecの研究者は記しています。
Sansecのレポートによると、Adobeは8月に社内で緊急修正について議論し、9月初旬に選定されたCommerce顧客に対して発表しました。
しかし、Sansecのレポートは、Adobeのパッチが9月初旬に誤ってリークされたことを指摘し、「悪意のある攻撃者がすでにエクスプロイトコードの作成に取り組んでいる可能性がある」と述べています。
Adobeが緊急パッチをリリース
Adobeは9月9日、APSB25-88セキュリティアドバイザリにて緊急パッチを公開し、この脆弱性にCVE識別子(CVE-2025-542360)およびCVSSスコア9.1を割り当てました。
CVEエントリでは、CVE-2025-542360(別名SessionReaper)が、Adobe Commerceバージョン2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15およびそれ以前のすべてのリリースに影響する重大な不適切な入力検証の脆弱性であると記載されています。
また、Adobeのアドバイザリでは、この脆弱性が悪用された場合、攻撃者がアクティブなユーザーセッションを乗っ取ることができ、機密性およびデータの完全性に深刻な影響を及ぼす可能性があると指摘しています。
しかし、Sansecの研究者は、CVEエントリおよびAdobeのアドバイザリのいずれにも、リモートコード実行のリスクについては記載されていないことを強調しており、これはBlaklisがSlack上で確認しています。
Sansecのレポートによると、SessionReaperはMagentoの歴史の中でも特に深刻な脆弱性の一つであり、Shoplift(2015年)、Ambionics SQLi(2019年)、TrojanOrder(2022年)、CosmicSting(2024年)と並ぶものだとしています。
執筆時点で、AdobeおよびSansecのいずれもSessionReaper脆弱性の実際の悪用の証拠は検出していません。
SessionReaperのパッチ適用および緩和方法
Sansecの研究者は、すでにSansec Shieldによって保護されているユーザーは、このAdobe Commerceの脆弱性から守られていることを確認しています。
この保護を受けていない場合は、公式パッチを直ちにテストし、適用することを強く推奨しています。ただし、内部Magento機能の変更により、カスタムまたはサードパーティの統合に影響が出る可能性があるため注意が必要です。Adobeは実装支援のための開発者ガイドを提供しています。
公開から24時間以内にパッチ適用が完了できない場合は、緊急措置としてWebアプリケーションファイアウォール(WAF)の有効化をSansecは推奨しています。
24時間を過ぎてからパッチを適用したユーザーには、潜在的な侵害の有無を確認するためにマルウェアスキャンの実施をSansecの研究者は強く推奨しています。
さらに、秘密暗号鍵のローテーションも推奨されています。漏洩した場合、攻撃者がCMSブロックを永続的に操作できる可能性があるためです。この重大な脆弱性に関連するリスクを軽減するためには、即時の対応が不可欠です。
翻訳元: https://www.infosecurity-magazine.com/news/adobes-emergency-patch-commerce/