- AdobeはCommerceおよびMagentoの重大なWeb API脆弱性を修正
- SessionReaperと名付けられたこのバグは9.1/10のスコアで複数バージョンに影響
- 研究者らは、流出したホットフィックスが攻撃者を助ける可能性を警告
Adobeは、CommerceおよびMagento Open Sourceプラットフォームにおいて、アカウントの完全な乗っ取りにつながる可能性のある重大な脆弱性を修正しました。
最近公開されたセキュリティアドバイザリで、AdobeはWeb APIのServiceInputProcessorコンポーネントに影響する不適切な入力検証(CWE-20)の脆弱性を修正したと述べています。
つまり、悪意のある不適切に検証されたAPIリクエストがセキュリティ制御を回避できるということです。研究者らはこれをSessionReaperと名付けました。
史上最も深刻な脆弱性
このバグは現在CVE-2025-54236として追跡されており、National Vulnerability Database(NVD)で9.1/10(クリティカル)の深刻度スコアが付けられています。
影響を受けるバージョンには、2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15およびそれ以前が含まれるとNVDページは述べています。
「攻撃者がこの脆弱性を悪用すると、セッションの乗っ取りが可能となり、機密性および完全性への影響が高くなります。この問題の悪用にはユーザーの操作は必要ありません。」Adobe Commerce on Cloudの顧客は、ウェブアプリケーションファイアウォール(WAF)によって保護されていると、同社は確認しています。
同社は現時点で実際の悪用は把握していないとしていますが、BleepingComputerによると、プラットフォーム史上「最も深刻な」脆弱性と説明しています。
パッチは9月9日にリリースされており、顧客は速やかに適用するよう強く推奨されています。「できるだけ早くホットフィックスを適用してください。適用しない場合、このセキュリティ問題に対して脆弱となり、Adobeが支援できる手段も限られます」とAdobeは警告しています。
現時点で実際の悪用の証拠はありませんが、セキュリティ企業Sansecによると、SessionReaper用の初期ホットフィックスが数日前に流出しており、悪意のある攻撃者がこれをリバースエンジニアリングして追加の脆弱性を発見・悪用する可能性があるとBleepingComputerは報じています。
同時に、一部の研究者は、この修正を適用すると一部の外部コードが動作しなくなる可能性があると考えており、特定のMagento機能が無効化されるためだと指摘しています。
翻訳元: https://www.techradar.com/pro/security/adobe-patches-most-severe-flaw-in-magento-ecommerce-platform
