黑客利用Adobe Magento关键"SessionReaper"漏洞

黑客正在积极利用Adobe Commerce（前身为Magento）平台中的关键SessionReaper漏洞（CVE-2025-54236），已记录数百次攻击尝试。

该活动被电子商务安全公司Sansec发现，其研究人员此前将SessionReaper描述为该产品历史上最严重的安全漏洞之一。

Adobe于9月8日就CVE-2025-54236发出警告，称这是一个不当输入验证漏洞，影响Commerce版本2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15（及更早版本）。

成功利用该漏洞的攻击者可以在无需任何用户交互的情况下控制账户会话。

“潜在攻击者可能通过Commerce REST API接管Adobe Commerce中的客户账户，“Adobe解释道。

Sansec此前表示，成功利用可能取决于将会话数据存储在文件系统上（这是大多数商店使用的默认配置），并且供应商泄露的热修复程序可能提供有关如何利用该漏洞的线索。

在SessionReaper的紧急补丁可用大约六周后，Sansec确认了在野外的主动利用。

“在Adobe为SessionReaper（CVE-2025-54236）发布紧急补丁六周后，该漏洞已进入主动利用阶段，“Sansec的公告中写道。

研究人员表示：“Sansec Shield今天检测并阻止了首次真实世界攻击，这对数千家仍未打补丁的商店来说是个坏消息。”

就在今天，Sansec阻止了超过250次针对多个商店的SessionReaper利用尝试，大部分攻击源自以下五个IP地址：

到目前为止的攻击包括PHP webshell或phpinfo探测，这些探测会检查配置设置并在系统上查找预定义变量。

同样在今天，Searchlight Cyber的研究人员发布了对CVE-2025-54236的详细技术分析，这可能导致利用尝试的增加。

根据Sansec的数据，62%的在线Magento商店尚未安装Adobe的安全更新，仍然容易受到SessionReaper攻击。

研究人员指出，在修复程序可用十天后，打补丁活动非常缓慢，只有三分之一的网站安装了更新。目前，五分之三的商店容易受到攻击。

强烈建议网站管理员尽快应用补丁或Adobe推荐的缓解措施。

黑客利用Adobe Magento关键漏洞"SessionReaper"发起攻击