Adobe Commerce/Magento の脆弱性 CVE-2025-54236:PHP バックドアの展開を確認

Active Exploits Target Magento and Adobe Commerce RCE, Attackers Inject Webshells

2025/10/23 gbhackers — Adobe Commerce/Magento プラットフォームに影響を及ぼす、深刻な脆弱性 CVE-2025-54236 (通称:SessionReaper) が悪用されていることを、Sansec のセキュリティ研究者が公表した。この脆弱性を悪用する未認証の攻撃者は、数千のオンラインストアでリモート・コード実行や顧客アカウントの乗っ取りを引き起こす可能性を得る。

Adobe が緊急パッチをリリースしてから約2ヶ月後の 2025年10月22日に、Sansec は大規模な攻撃を検出したと報告している。発見の時点で、保護パッチを適用していたのは、影響を受けたストアの 40 % 未満だったという。

攻撃の仕組み
CVE IDVulnerability NameAffected ProductsTypeCVSS 3.1
CVE-2025-54236SessionReaperAdobe Commerce & Magento (all versions)Unauthenticated RCE, Account Takeover9.1 Critical

この脆弱性 SessionReaper は、Magento の REST API に存在するネストされた安全ではないデシリアライズの欠陥と、悪意のセッション・ファイルを用いるものだ。それにより攻撃者は、脆弱なストアフロントの完全な制御を可能にする。

エクスプロイトは “/customer/address_file/upload” エンドポイントを経由して侵入し、攻撃者は偽のセッション・ファイルを装う PHP バックドアをアップロードする。この手法は認証要件を完全に回避するため、インターネットを介して接続する攻撃者は、有効な認証情報を必要とせずに未修正のシステムに侵入できる。

ファイル・ベースのセッション・ストレージを使用する、Magento 環境が最も高いリスクを抱えるが、Redis/Database ベースのセッションに依存する組織も安全とは限らない。セキュリティ研究者は、複数の攻撃ベクターの存在を確認しており、今後の悪用範囲は拡大していく可能性がある。

Adobe は通常のリリース・スケジュールから外れて、9月9日に SessionReaper パッチを緊急アップデートとして公開した。しかし適用率は依然として低く、9月中旬の時点で修正を導入した Magento ストアは 3 分の 1 未満に留まっていた。

この遅延により、攻撃者はエクスプロイトの開発/展開の機会を得た。それに加えて、Adobe が誤って GitHub にパッチコードを流出させたことで、攻撃者の準備を加速させる状況にあった。

その一方で、Adobe の公式アドバイザリは脅威を過小評価し、影響の範囲はアカウント乗っ取りのみであると記述し、リモート・コード実行については言及していなかった。この欠陥は、その後にセキュリティ研究者により指摘されたものだ。

SessionReaper は、これまでに発見された Magento の脆弱性の中でも、最も深刻な部類に入る。つまり、Shoplift (2015年)/Ambionics SQL インジェクション (2019年)/TrojanOrder (2022年)/CosmicSting (2024年) といった悪名高い脆弱性と肩を並べるものである。それらの過去の脆弱性では、公開から数時間〜数日以内に数千のストアが侵害されている。

対応策

パッチを適用していない Magento/Adobe Commerce を運用する組織は、差し迫った侵害リスクに直面している。緊急対応として、Adobe のリポジトリから公式パッチを導入し、徹底的にテストすることが重要となる。この修正により Magento の内部機能が無効化され、カスタム・エクステンションが動作しなくなる可能性があるという。

24時間以内にパッチを適用できない場合に、管理者にとって必要なことは、一時的な防御手段としてWAF を有効化することだ。現時点で、今回の攻撃を遮断できるのは、Adobe Fastly と Sansec Shield のみである。

セキュリティ研究者たちが、すでにパッチを適用したストアに対して推奨するのは、マルウェア・スキャナーを実行して侵害を検出した後に、暗号鍵をローテーションして CMS ブロックの改変を防ぐことだ。

現時点において、全ストアの 62 % がパッチ未適用の状態にある。自動化されたエクスプロイト・キャンペーンの被害を受ける組織が増えるにつれて、脅威の状況は進化し続けていく。

脆弱性 SessionReaper は、Magento の REST API にある安全ではないデシリアライズ処理と、偽のセッション・ファイルをアップロードできてしまう仕組みに原因があります。”/customer/address_file/upload” 経由で PHP バックドアを置ける点と、ファイル・ベースのセッション保存が高リスクであることが核心です。ただし、Redis/DB ベースでも複数の攻撃ベクターが確認されているため、単一の実装ミスが広範囲なリモート侵害につながる構造になっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ Magento で検索を、ご参照ください。