Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。
本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。
eコマースセキュリティ企業Sansecによると、Adobeは「選ばれたCommerce顧客」に対し、9月9日に予定されている緊急修正の事前通知を9月4日に行いました。
「Adobeは2025年9月9日(火)に、Adobe CommerceおよびMagento Open Source向けのセキュリティアップデートをリリースする予定です」と通知には記載されています。
「このアップデートは重大な脆弱性を修正します。悪用に成功した場合、セキュリティ機能の回避につながる可能性があります。」
Adobe Commerce on Cloudを利用している顧客は、Adobeによって中間措置として導入されたWebアプリケーションファイアウォール(WAF)ルールによってすでに保護されています。
出典:Sansec
Adobeはセキュリティ速報の中で、現時点で実際の悪用活動は確認されていないと述べています。Sansecのアドバイザリでも、研究者はSessionReaperの積極的な悪用を確認していないと記載しています。
しかしSansecによれば、CVE-2025-54236の初期ホットフィックスが先週流出しており、これにより脅威アクターがエクスプロイト作成で先行する可能性があるとしています。
研究者によると、悪用が成功するには「セッションデータがファイルシステムに保存されていること」が条件となるようで、これはほとんどのストアでデフォルト設定となっています。
管理者は、利用可能なパッチ(直接ダウンロード、ZIPアーカイブ)を直ちにテストし、適用することが強く推奨されます。研究者は、この修正によりMagento内部の機能が無効化され、カスタムコードや外部コードの一部が動作しなくなる可能性があると警告しています。
このため、Adobeはドキュメントを更新し、Adobe Commerce REST APIのコンストラクターパラメータインジェクションの変更点を説明しています。
「できるだけ早くホットフィックスを適用してください。適用しない場合、このセキュリティ問題に対して脆弱なままとなり、Adobeが支援できる範囲も限られます」 – Adobe
Sansecの研究者は、CVE-2025-54236が自動化によって大規模に悪用されると予想しています。また、この脆弱性はプラットフォーム史上最も深刻なMagentoの脆弱性の一つであり、CosmicSting、TrojanOrder、Ambionics SQLi、Shopliftと並ぶものだと指摘しています。
過去にも同様の問題が、セッション偽造、権限昇格、内部サービスへのアクセス、コード実行などに悪用されてきました。
このセキュリティ企業はSessionReaperエクスプロイトの再現に成功しましたが、コードや技術的な詳細は公開せず、「この脆弱性は昨年のCosmicSting攻撃と似たパターンに従っている」とだけ述べています。
