Adobe CommerceおよびMagentoユーザー：重大なSessionReaper脆弱性を今すぐ修正してください

Adobeは、Magento Open Sourceのeコマースプラットフォームおよびそのエンタープライズ版であるAdobe Commerceでこれまで発見された中でも最も深刻な脆弱性の1つに対し、緊急パッチを発行しました。この脆弱性により、認証されていない攻撃者がユーザーアカウントを乗っ取ったり、場合によってはサーバー上で任意のコードを実行したりすることが可能になります。

CVE-2025-54236として追跡され、セキュリティコミュニティからSessionReaperと呼ばれているこの脆弱性は、外部の研究者によってAdobeに非公開で報告されました。同社はこの問題を非常に深刻と判断し、臨時パッチをリリースし、Adobe Commerceの通常2か月ごとのアップデートサイクルを破りました。

Adobe Commerceの顧客には9月4日にパッチの事前通知がありましたが、Magento Open Sourceのユーザーには通知がなかったようです。Magentoは15万以上のアクティブなeコマースサイトを支えており、長年にわたりハッカーの標的となってきました。Magentoを基盤とするAdobe Commerceは、20万以上のエンタープライズeコマースサイトをサポートしています。

「MagentoとAdobe Commerceは、eコマースストアの運営や決済カードデータの処理に広く利用されているため、脅威アクターにとっておなじみの存在です」と、セキュリティ企業watchTowrのCEOであるBenjamin Harris氏はCSOに語りました。「このような重大な脆弱性は、Magecart型攻撃や決済データの窃取を可能にするでしょう。Magentoに対する実際の悪用事例や、このアップデートの緊急性を考慮し、組織は直ちにパッチを適用することを強く推奨します。」

Magecartとは、ハッカーがオンラインストアを侵害し、決済フォームに悪意のあるスクリプトを挿入して、チェックアウト時に顧客の決済カードデータを盗む攻撃手法の総称です。これらのスクリプトはウェブスキマーとも呼ばれ、複数の攻撃グループによって使用されていますが、「Magecart」という名称は、最初にこの手法で狙われたプラットフォームの1つであるMagentoに由来しています。

ウェブスキミングやフォームジャッキングは2010年から2020年にかけてeコマースの脅威の主流でしたが、Magecart型攻撃は現在も活動を続けています。eコマースのセキュリティ企業Sansecによると、昨年は1日平均30件の新しいウェブスキミングシグネチャが追加されたと報告されています。

MagentoのREST APIを介した悪用

Adobeのアドバイザリでは、この脆弱性をセキュリティ機能のバイパスと説明していますが、攻撃者を助けないよう技術的な詳細はほとんど公開されていません。この脆弱性のCVSSスコアは10点中9.1であり、その深刻さが強調されています。

Sansecの研究者は、この問題を特定し再現することに成功しました。アカウント乗っ取りを可能にするだけでなく、ファイルベースのセッションストレージが使用されている場合にはリモートコード実行につながる可能性もあります。

「攻撃者を助けるような技術的詳細は開示できませんが、この脆弱性は昨年のCosmicSting攻撃と似たパターンに従っています」とSansecの研究者は自社レポートで述べています。「この攻撃は、悪意のあるセッションとMagentoのREST APIにおけるネストされたデシリアライズバグを組み合わせています。」

CosmicSting（CVE-2024-34102）は、近年で最も深刻なMagentoの脆弱性の1つであり、攻撃者が機密情報を含むサイトファイルを読み取ることを可能にしました。一般的な悪用手法としては、app/etc/env.phpからサイトの秘密暗号鍵を盗み、REST API経由で悪意のあるJavaScriptを挿入して顧客データを収集する方法がありました。

Adobeはアドバイザリの中で、現時点でSessionReaperの積極的な悪用は確認されていないと述べています。しかし、MagentoおよびAdobe Commerceの脆弱性の歴史を考えると、状況が急変する可能性があります。

「SessionReaperは、これまでで最も深刻なMagentoの脆弱性の1つであり、Shoplift（2015年）、Ambionics SQLi（2019年）、TrojanOrder（2022年）、CosmicSting（2024年）と並ぶものです」とSansecは警告しています。「これらの脆弱性が公開されるたびに、数千のストアが、時には数時間以内に侵害されてきました。」