ハッカーがAdobe Commerce(旧Magento)プラットフォームの重大なSessionReaper脆弱性(CVE-2025-54236)を積極的に悪用しており、数百件の試行が記録されています。
この活動は、eコマースセキュリティ企業Sansecによって発見され、同社の研究者は以前、SessionReaperを製品史上最も深刻なセキュリティバグの一つと評していました。
Adobe
攻撃者がこの脆弱性を悪用することに成功すると、ユーザーの操作なしにアカウントセッションを乗っ取ることができます。
「潜在的な攻撃者は、Commerce REST APIを通じてAdobe Commerceの顧客アカウントを乗っ取ることができます」とAdobeは説明しています。
Sansecは以前、攻撃の成功はセッションデータをファイルシステムに保存すること(ほとんどのストアで使用されているデフォルト設定)に依存する可能性が高いと述べており、ベンダーから流出したホットフィックスが悪用方法の手がかりを与える可能性があるとしています。
SessionReaperの緊急パッチが提供されてから約6週間後、Sansecは実際の攻撃が発生していることを確認しています。
「AdobeのSessionReaper(CVE-2025-54236)に対する緊急パッチから6週間後、この脆弱性は実際に悪用され始めました」とSansecの速報に記されています。
「Sansec Shieldは本日、最初の実際の攻撃を検知しブロックしました。これは、未だパッチが適用されていない何千ものストアにとって悪いニュースです」と研究者らは述べています。
本日だけで、Sansecは複数のストアを標的とした250件以上のSessionReaper悪用試行をブロックしており、その多くは以下の5つのIPアドレスから発信されています:
- 34.227.25.4
- 44.212.43.34
- 54.205.171.35
- 155.117.84.134
- 159.89.12.166
これまでの攻撃には、PHPウェブシェルやphpinfoプローブが含まれており、システム上の設定や定義済み変数を確認しようとしています。
また本日、Searchlight Cyberの研究者がCVE-2025-54236の詳細な技術分析を公開しており、これにより悪用試行が増加する可能性があります。
Sansecによると、オンラインのMagentoストアの62%がまだAdobeのセキュリティアップデートをインストールしておらず、SessionReaper攻撃に対して脆弱なままです。
研究者らは、修正プログラムが提供されてから10日後の時点で、パッチの適用が非常に遅く、3分の1のウェブサイトしかアップデートをインストールしていなかったと指摘しています。現在、5分の3のストアが脆弱な状態です。
ウェブサイト管理者は、できるだけ早くパッチまたはAdobeが推奨する緩和策を適用することが強く推奨されます。
