Sansecは10月22日(現地時間)、「SessionReaper attacks have started, 3 in 5 stores still vulnerable」において、Adobe製ECプラットフォーム「Adobe Commerce」および「Magento」の脆弱性「SessionReaper(CVE-2025-54236)」を突く攻撃が加速しており、被害が拡大する可能性があると警告した。
同社の調査では、対策用のパッチを適用した店舗はわずか38%にとどまっており、依然として5店舗中3店舗が危険な状態のままになっている。
-
Sansec - Research - SessionReaper attacks have started, 3 in 5 stores still vulnerable
深刻度は「クリティカル」、すぐに対策を
Adobeは2025年9月9日にECプラットフォーム「Adobe Commerce」および「Magento」の重大な脆弱性「CVE-2025-54236」を報告し、対策用のセキュリティアップデートをリリースした。
この脆弱性は「SessionReaper」と呼ばれており、入力データの不適切な検証に起因するものだという。悪用すれば、セキュリティ機能を回避して顧客アカウントの乗っ取りやリモートコードの実行が可能になる。脆弱性の影響度を示すCVSSv3のベーススコアは「9.1」で、深刻度はクリティカルに指定されている。
パッチを適用しているサイトはわずか38%
Adobeが脆弱性の情報を公表して以来、攻撃に悪用可能な概念実証コードが出回っているため、対策パッチを適用していないEコマースサイトはきわめて危険な状態に置かれている。実際、Sansecの調査チームはすでに活発な攻撃を確認しており、近日中に大規模な攻撃が発生すると予想している。
同社の調査では、Magentoを使用するECサイトのうち対策パッチを適用しているのはわずか38%であることを確認したという。残りのECサイトは依然としてSessionReaperに対して脆弱な状態にあり、攻撃が本格化した場合に被害を受ける危険性が高い。
もしもまだ対策を講じていない場合は、早急にAdobeが提供するセキュリティアップデートを適用する必要がある。手順は次のページにまとめられている。
Sansecの調査チームは、世界中のECサイトへの攻撃をリアルタイムで追跡しており、すでに複数のストアを標的とした250件以上のSessionReaper攻撃をブロックしたという。攻撃に使われたIPも公表しており、攻撃手法に関する新たな詳細が明らかになり次第、情報を更新すると伝えている。
OpenAI CEO、AIモデルに深刻なセキュリティの課題があることを認める
