サイバーセキュリティ企業Sansecによると、ハッカーがAdobe CommerceおよびMagento Open Sourceの重大な脆弱性を悪用し始めています。
CVE-2025-54236(CVSSスコア9.1)として追跡されているこの脆弱性は、不適切な入力検証によるセキュリティ機能のバイパス問題と説明されています。
9月9日、Adobeはこのセキュリティ欠陥のホットフィックスをリリースし、CommerceおよびMagento Open Sourceのバージョン2.4.4から2.4.7を使用しているユーザーに対して、導入環境のアップデートを強く推奨しました。
Sansecは当時、Adobeのパッチがホットフィックス公開の1週間前に漏洩したことから、脅威アクターがSessionReaperと呼ばれるこのバグの武器化に取り組んでいる可能性が高いと警告していました。
現在、SansecによるとCVE-2025-54236の積極的な悪用が始まっており、水曜日には約250件の攻撃が観測されました。確認されたペイロードにはPHPウェブシェルやphpinfoプローブが含まれていました。
この悪用活動は急速に増加すると予想されており、脆弱性に対するパッチが適用されているeコマースサイトは半数未満です。
さらに水曜日には、Searchlight CyberがSessionReaperとその悪用に関する技術情報を公開しており、これがバグの実際の標的化をさらに促進するとみられています。
「悪用の詳細が公開され、すでに攻撃が観測されているため、今後48時間以内に大規模な悪用が発生すると予想しています。技術的な解説記事が公開されると、自動スキャンや悪用ツールが通常すぐに登場し、SessionReaperの高い影響度は攻撃者にとって魅力的な標的となります」とSansecは述べています。
広告。スクロールして続きをお読みください。
サイバーセキュリティ企業は、Adobeのホットフィックスを適用しているストアはわずか38%であり、Magentoストアの62%がリスクにさらされていると指摘しています。
このセキュリティ欠陥の主な問題の一つは、Adobeが約1か月前に警告したように、Commerce REST APIを通じて顧客アカウントの乗っ取りにつながる可能性があることです。
水曜日、Adobeはアドバイザリを更新し、このセキュリティ欠陥が実際に悪用されていることを確認しました。「AdobeはCVE-2025-54236が実際に悪用されていることを認識しています」とアップデートに記載されています。
