- CVE-2025-54236がMagentoのREST API経由でアカウントを乗っ取るために積極的に悪用されています
- 24時間で250件以上の攻撃発生;修正パッチ公開から6週間経過も大半のストアが未対応
- 攻撃者は偽セッションを使いPHPバックドアをアップロード;Sansecは即時パッチ適用とスキャンを推奨
最近発見された重大度の高い脆弱性が、Adobe CommerceおよびMagento Open Sourceプラットフォームで確認されており、専門家によると、ECサイトを攻撃してアカウントを乗っ取るために実際に悪用されています。
Sansecの研究者によると、24時間以内にCVE-2025-54236を利用した250件以上の攻撃が観測されました。この脆弱性は「不適切な入力検証」と説明されており、重大度は9.1/10です。
この脆弱性はCommerce REST APIを通じて顧客アカウントを乗っ取るために悪用されています。
パッチ、WAF、その他の対策
この攻撃は「SessionReaper」と呼ばれており、Adobeはすでにバグ修正パッチを公開していますが、SansecによればMagentoストアの大多数(ほぼ3分の2、62%)が、パッチ公開から6週間経過しても依然として脆弱なままです。
Sansecは攻撃元となっている5つの異なるIPアドレスを特定しました。これは複数の脅威アクターがいるか、もしくは単一のアクターがVPNやプロキシサーバ、侵害されたマシンを使って本当の位置を隠している(こちらの方が一般的)ことを示唆しています。
攻撃では、PHPのwebshellを設置したり、phpinfoを調査してPHPの設定データを抽出しようとします。「PHPバックドアは偽のセッションとして’/customer/address_file/upload’経由でアップロードされます」とSansecは述べています。
この脆弱性が実際に悪用されており、パッチもすでに数週間前から提供されていることから、Sansecはすべてのユーザーに資産の即時保護を呼びかけています。
そのためには、できるだけ早くパッチをテスト・適用すること、Webアプリケーションファイアウォール(WAF)保護を有効化すること(今すぐパッチ適用できない場合)、および侵害スキャンの実施が含まれます。
「パッチ適用を遅らせている場合は、eComscanのようなマルウェアスキャナーを使って侵害の兆候を確認してください」とSansecは説明しています。
TheHackerNewsによると、これは過去2年間でAdobe CommerceおよびMagentoプラットフォームで発見された2件目のデシリアライズ脆弱性です。2024年7月には、同社が「CosmicSting」と呼ばれる9.8/10の脆弱性に対するパッチを公開しており、これも実際に悪用されていました。
