關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
顯示分類
2025.10.23
漏洞與風險/資安漏洞
駭客利用 Adobe Magento 中的關鍵「SessionReaper」漏洞

全球電子商務平台正面臨一場迫在眉睫的安全危機。電子商務網站經常成為網路犯罪分子覬覦的目標,特別是那些運行在知名平台上的商店,因為它們儲存著大量的客戶數據和支付信息。近期,一個針對 Adobe Commerce(以前稱為 Magento)平台的嚴重漏洞——SessionReaper(追蹤編號:CVE-2025-54236)——已進入活躍利用階段,這讓數以萬計的線上商店面臨極高的資安風險。
駭客正積極利用 Adobe Commerce(以前稱為 Magento)平台中的 SessionReaper 漏洞(CVE-2025-54236),已有數百次嘗試被記錄下來,成功利用該漏洞的攻擊者無需任何使用者互動即可控制帳戶會話。Adobe於 9 月 8 日對CVE-2025-54236發出警告,表示這是不當輸入驗證漏洞,影響 Commerce 版本 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、25.4.15.5.4版本及版本。

這個漏洞的技術細節在於其被描述為一個不當輸入驗證(Improper Input Validation,CWE-20)缺陷,存在於 Web API 的 ServiceInputProcessor 元件中。它允許惡意的、未經驗證的 API 請求繞過安全控制,導致遠端未經身份驗證的攻擊者可以透過 Commerce REST API 劫持客戶帳戶會話。更嚴重的是,發現該漏洞的安全研究人員表示,在特定條件下,此缺陷還可能導致遠端程式碼執行(Remote Code Execution, RCE),使攻擊者能完全控制受感染的伺服器。SessionReaper的嚴重程度在國家漏洞資料庫(NVD)中被評為高達9.1分(滿分10分)的臨界級別,其危險性可與過去 Magento 歷史上最為嚴重的漏洞相提並論,例如 2015 年的 Shoplift、2019 年的 Ambionics SQLi、2022 年的 TrojanOrder,以及去年(2024年)的 CosmicSting(CVE-2024-34102)。這些歷史漏洞在被公開後的數小時內就導致了數千家商店被駭。

Sansec 的公告中寫道:「Adobe 發布SessionReaper(CVE-2025-54236)緊急補丁六週後,該漏洞已進入活躍利用階段。」就在今天,Sansec 阻止了針對多家商店的 250 多次 SessionReaper 攻擊嘗試,大多數攻擊來自五個 IP 位址:34.227.25.4、44.212.43.34、54.205.171.35、155.117.84.134、159.89.12.166,到目前為止的攻擊包括 PHP webshell 或 phpinfo 探測,用於檢查配置設定並查找系統上的預定義變數,強烈建議網站管理員盡快套用 Adobe 的修補程式或建議的緩解措施。

根據 Sansec 的最新報告,在 Adobe 發布緊急修補程式(Hotfix)六週之後,仍有高達 62% 的 Magento 商店處於未修補的狀態,這使得它們極易遭受 SessionReaper 的攻擊。攻擊者正利用此漏洞植入 PHP webshell,這是一種惡意的腳本,允許攻擊者對受感染的伺服器進行遠端管理和控制。此外,駭客還會執行 phpinfo 探測,以收集目標系統的 PHP 配置資訊和預定義變數,為進一步的深度攻擊做準備。這表明攻擊活動已從早期的漏洞驗證轉變為有組織、有目的的實質性侵害。

值得一提的是,SessionReaper 是繼去年 CosmicSting(CVE-2024-34102)之後,影響 Adobe Commerce 和 Magento 平台的第二個反序列化(Deserialization)漏洞。安全研究人員已經成功重現了SessionReaper漏洞的一種攻擊途徑,但警告可能存在多種攻擊向量。該攻擊模式與去年的 CosmicSting 攻擊相似,涉及惡意的會話與 Magento REST API 中的巢狀反序列化錯誤的結合。具體而言,這個 RCE 向量似乎需要基於檔案的會話儲存(File-based session storage)。由於概念驗證(Proof-of-Concept, PoC)漏洞和更多技術細節已開始在公眾領域流傳,這使得漏洞被大規模濫用的風險急劇增加。

針對這次危機,Adobe 除了緊急發布修補程式外,也對使用「Adobe Commerce on Cloud infrastructure」的客戶採取了部署網路應用程式防火牆(WAF)規則的措施,以期在基礎設施層面保護環境免受 CVE-2025-54236 的利用嘗試。然而,對於自託管(Self-hosted)的 Magento Open Source 用戶和部分 Adobe Commerce 用戶而言,立即手動套用 Hotfix 是唯一的防禦手段。

面對駭客的積極利用,電子商務網站管理員必須將修補程序列為最高優先級任務,並在短時間內完成部署。由於該漏洞可能導致全面的客戶帳戶劫持,以及潛在的遠端程式碼執行,未能及時修補將使商家面臨客戶資料外洩、支付信息被竊、網站被植入惡意軟體(如 Skimmer)甚至網站被完全控制的風險。這不僅會造成巨大的財務損失和法律責任,更會嚴重損害客戶對品牌的信任。資安界普遍呼籲,網站管理員應立即採取行動,遵循 Adobe 的官方建議,並將軟體修補流程納入常態化、高優先級的運營範疇,以確保電子商務平台的持續安全與穩定運營。

Adobe更新方法:開啟Adobe → 點擊畫面左上方的”檔案” → 選擇”檢查更新”後,依照檢查結果更新Adobe版本。

資料來源:https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-sessionreaper-flaw-in-adobe-magento/
 
Adobe Commerce/Magento平台正遭受SessionReaper(CVE-2025-54236)致命漏洞的積極攻擊