🛡 概要
Adobeは、CommerceおよびMagentoオープンソースプラットフォームにおける重大な脆弱性CVE-2025-54236について警告を発しました。この脆弱性はSessionReaperと呼ばれ、製品の歴史の中で最も深刻な欠陥の一つとされています。Adobeはこの問題に対するパッチをリリースし、認証なしで顧客アカウントを制御する可能性があるとしています。特に、Commerce REST APIを介して攻撃される恐れがあります。
🔍 技術詳細
この脆弱性CVE-2025-54236は、セッションデータがファイルシステムに保存されるデフォルト設定に依存しているとされています。これは多くの店舗で使用されている一般的な設定です。Adobeは、9月9日に予定されている緊急修正の通知を選定されたCommerce顧客に送信しました。Adobe Commerce on Cloudを利用している顧客は、ウェブアプリケーションファイアウォール(WAF)によって既に保護されています。Sansecの調査によれば、SessionReaperの攻撃は自動化され、大規模に悪用される可能性が高いとされています。
⚠ 影響
この脆弱性が悪用されると、セキュリティ機能のバイパスが可能になり、顧客データの漏洩や不正アクセスのリスクが高まります。過去の類似の問題では、セッション偽造や特権昇格、内部サービスへのアクセス、コード実行が可能になることがありました。Sansecは、SessionReaperがCosmicSting攻撃のようなパターンに従っていると指摘しています。この脆弱性の存在は、オンラインビジネスの信頼性を著しく損なう可能性があります。
🛠 対策
Adobeは、CVE-2025-54236に対するホットフィックスを提供しており、管理者はこのパッチを即座にテストし、適用することが強く推奨されています。ただし、この修正は内部のMagento機能を無効にするため、カスタムコードや外部コードが破損する可能性があります。Adobeは、修正を適用しない場合、セキュリティ問題への脆弱性が残ることを警告しています。早急にホットフィックスを適用し、MagentoのREST APIの変更点に関するドキュメントを確認することが重要です。
