黑客利用Adobe Magento关键"SessionReaper"漏洞发起攻击

黑客正在积极利用Adobe Commerce（前身为Magento）平台中的关键SessionReaper漏洞（CVE-2025-54236），已记录数百次攻击尝试。

这一活动被电子商务安全公司Sansec发现，该公司的研究人员此前将SessionReaper描述为该产品历史上最严重的安全漏洞之一。

Adobe于9月8日就CVE-2025-54236发出警告，称这是一个不当输入验证漏洞，影响Commerce版本2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15（及更早版本）。

成功利用该漏洞的攻击者可以在无需任何用户交互的情况下控制账户会话。

Adobe解释说：“潜在攻击者可能通过Commerce REST API接管Adobe Commerce中的客户账户。”

Sansec此前表示，成功利用可能取决于会话数据是否存储在文件系统上（这是大多数商店使用的默认配置），并且供应商泄露的修补程序可能提供有关如何利用该漏洞的线索。

在SessionReaper的紧急补丁可用大约六周后，Sansec确认该漏洞正在被积极利用。

Sansec的公告中写道：“在Adobe为SessionReaper（CVE-2025-54236）发布紧急补丁六周后，该漏洞已进入主动利用阶段。”

研究人员表示：“Sansec Shield今天检测并阻止了首次真实攻击，这对于数千家仍未修补的商店来说是个坏消息。”

就在今天，Sansec阻止了250多次针对多个商店的SessionReaper利用尝试，大部分攻击源自以下五个IP地址：

到目前为止的攻击包括PHP webshell或phpinfo探测，这些探测会检查配置设置并在系统中查找预定义变量。

同样在今天，Searchlight Cyber的研究人员发布了对CVE-2025-54236的详细技术分析，这可能导致利用尝试增加。

根据Sansec的数据，62%的在线Magento商店尚未安装Adobe的安全更新，仍然容易受到SessionReaper攻击。

研究人员指出，在修复程序可用十天后，修补活动进展缓慢，只有三分之一的网站安装了更新。目前，五分之三的商店容易受到攻击。

强烈建议网站管理员尽快应用补丁或Adobe推荐的缓解措施。

黑客正利用Adobe Magento关键漏洞"SessionReaper"发起攻击