🛡 概要
Adobe CommerceおよびMagento Open Sourceにおける重大な脆弱性CVE-2025-54236が発見され、多くのeコマースサイトが危険にさらされています。この脆弱性は、セキュリティ機能のバイパスを引き起こす不適切な入力検証に起因しています。サイバーセキュリティ企業Sansecによると、攻撃者によるこの脆弱性の悪用が開始され、9月9日にはAdobeがホットフィックスをリリースしました。特に、バージョン2.4.4から2.4.7のユーザーに対して、迅速なアップデートが強く推奨されています。
🔍 技術詳細
CVE-2025-54236はCVSSスコアが9.1に設定されており、深刻度が非常に高い脆弱性です。この問題は、SessionReaperと呼ばれ、攻撃者が顧客アカウントを乗っ取る可能性があるため、特に危険です。Sansecは、脆弱性が公開された後に攻撃者が迅速にこのバグを武器化しようとしていると警告しています。水曜日には約250件の攻撃が観測され、PHPウェブシェルやphpinfoプローブが含まれていました。さらに、検索ライトサイバーはSessionReaperの技術情報を公開し、この脆弱性の悪用が加速することが予想されています。
⚠ 影響
Adobeのホットフィックスを適用した店舗はわずか38%であり、62%のMagentoストアが依然として危険にさらされています。Adobeはこの脆弱性がREST APIを通じて顧客アカウントの乗っ取りにつながる可能性があると警告しており、実際に悪用が行われていることが確認されています。このままでは、脆弱性を悪用した攻撃が急増することが予想され、特に自動化されたスキャンや悪用ツールが迅速に広がる可能性があります。
🛠 対策
まず、Adobeのホットフィックスをすぐに適用することが最優先です。バージョン2.4.4から2.4.7を使用している場合、最新のアップデートを適用することで、脆弱性から保護される可能性が高まります。また、定期的なセキュリティ監査や脆弱性スキャンを実施し、異常なアクティビティを早期に検出する体制を整えることが重要です。最後に、ユーザーアカウントのセキュリティを強化するために、多要素認証を導入し、パスワードの強度を見直すことが推奨されます。
