Adobe Commerce 重大漏洞遭大規模利用　電商平台面臨帳號劫持風險

2025 / 10 / 24

編輯部

電商安全廠商 Sansec 警告，駭客正大規模利用 Adobe Commerce（前身為 Magento）平台的重大漏洞 CVE-2025-54236（又稱「SessionReaper」）。該公司在單日內攔截超過 250 次針對多個商店的攻擊嘗試。這個被研究人員形容為「產品史上最嚴重安全漏洞之一」的弱點，允許攻擊者在無需任何使用者互動的情況下劫持帳號 session。

儘管 Adobe 已於 9 月 8 日發布緊急修補程式，距今已超過六週，但 Sansec 最新數據顯示，目前仍有 62% 的 Magento 線上商店尚未安裝安全更新，使大量電商平台暴露在帳號接管與資料竊取風險中。

Magento 是一個開源的電子商務（E-commerce）平台，用於建立與管理線上商店。它由美國公司 Varien 於 2008 年開發，後來被 Adobe 於 2018 年收購，現在正式名稱為 Adobe Commerce，不過業界仍常稱其為 Magento，是電商領域的重要基礎設施。

漏洞技術細節：從輸入驗證到遠端程式碼執行

CVE-2025-54236 是一個不當輸入驗證漏洞（Improper Input Validation），CVSS 評分高達 9.1。該漏洞影響 Adobe Commerce 與 Magento Open Source 多個版本，包括 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 及更早版本。

Adobe 在官方公告中指出，攻擊者可以透過 Commerce REST API 接管客戶帳號。網路安全廠商 Searchlight Cyber 的研究人員 Tomais Williamson 進一步揭露，SessionReaper 實際上是一個巢狀反序列化缺陷（Nested Deserialization Flaw），可實現遠端程式碼執行。

Williamson 警告，當商店使用檔案系統儲存 session 資料時，未經身分驗證的使用者可以輕易達成遠端程式碼執行。即使採用其他儲存方式，例如使用 Redis 作為後端的商店也可能存在風險。Sansec 表示，大多數商店使用的正是檔案系統儲存 session 的預設配置。

攻擊活動現況：從 5 個 IP 擴散至 97 個來源

Sansec 證實，在 Adobe 釋出緊急修補程式約六週後，該漏洞已進入大規模利用階段。攻擊活動的爆發與 Assetnote 研究人員在 10 月中旬發布完整技術分析與概念驗證（PoC）漏洞利用程式的時間點高度吻合。

僅在 10 月中旬當天，Sansec 就攔截了超過 250 次 SessionReaper 漏洞利用嘗試。攻擊活動最初來自五個 IP 位址，但威脅活動快速擴散。攻擊來源目前已擴展至 97 個不同的 IP 位址。「我們記錄到數種不同的攻擊載荷，這表示多個威脅行為者正在進行大規模掃描」。

目前觀察到的攻擊載荷包含 PHP webshells 或 phpinfo 探測程式。Sansec 指出，「PHP 後門是透過 /customer/address_file/upload 路徑以偽造 session 的方式上傳」。

產業衝擊：電商平台的持續威脅

自 Adobe 於 2018 年收購 Magento 後，該平台日益成為威脅行為者的重點目標。大部分威脅活動來自專門針對線上商店進行信用卡側錄與資料竊取的 Magecart 攻擊。

值得注意的是，CVE-2025-54236 是近兩年內第二個影響 Adobe Commerce 與 Magento 平台的反序列化漏洞。2024 年 7 月，另一個重大缺陷「CosmicSting」（CVE-2024-34102，CVSS 評分 9.8）也遭到廣泛利用。

Sansec 的數位鑑識團隊發現，在漏洞披露超過一個月後，僅有 38% 的電商平台完成 SessionReaper 修補。在修補程式釋出十天後，僅有三分之一的網站安裝更新。

Sansec 警告，「隨著漏洞利用細節現已公開，且已觀察到實際攻擊活動，我們預期未來 48 小時內將出現大規模利用。技術分析文章發布後，自動化掃描與漏洞利用工具通常會快速出現，而 SessionReaper 的高衝擊性使其成為攻擊者的誘人目標」。