超250家Magento商店遭黑客利用Adobe Commerce新漏洞一夜攻击

电子商务安全公司Sansec警告称，威胁分子已开始利用Adobe Commerce和Magento开源平台近期披露的安全漏洞，过去24小时内记录到针对多家商店的超过250次攻击尝试。

相关漏洞为CVE-2025-54236（CVSS评分：9.1），这是一个严重的不当输入验证缺陷，可被滥用于通过Commerce REST API接管Adobe Commerce中的客户账户。

该漏洞也被称为SessionReaper，Adobe已于上月发布修复。化名Blaklis的安全研究人员因发现并负责任地披露CVE-2025-54236而受到认可。

这家荷兰公司表示，在公开披露六周后，仍有62%的Magento商店易受此安全漏洞影响，敦促网站管理员在更广泛的利用活动开始前尽快应用补丁。

攻击源自以下IP地址，未知威胁分子利用该漏洞投放PHP网页后门或探测phpinfo以提取PHP配置信息：

Sansec表示：“PHP后门通过’/customer/address_file/upload’作为伪造会话上传。”

与此同时，Searchlight Cyber发布了对CVE-2025-54236的详细技术分析，将其描述为可实现远程代码执行的嵌套反序列化漏洞。

值得注意的是，CVE-2025-54236是两年来影响Adobe Commerce和Magento平台的第二个反序列化漏洞。2024年7月，另一个名为CosmicSting的关键漏洞（CVE-2024-34102，CVSS评分：9.8）遭到广泛利用。

随着概念验证漏洞利用和更多细节进入公共领域，用户必须迅速应用修复程序。

黑客利用Adobe Commerce新漏洞一夜攻击超250家Magento店铺