详细内容或原文请订阅后点击阅览
随着 SessionReaper 攻击的蔓延,数千家在线商店面临风险
一个名为 SessionReaper 的 Magento 漏洞正在四处传播,研究人员警告说,它会让攻击者劫持真实的购物会话。
来源:Malwarebytes Labs 博客9 月初,一名安全研究人员发现了 Magento(数千家在线零售商使用的开源电子商务平台)及其商业版本 Adobe Commerce 中的一个新漏洞。这听起来就像恐怖电影中的场景:SessionReaper。电影名称背后隐藏着一个非常真实且非常危险的远程代码执行缺陷,被追踪为 CVE-2025-54236。它允许攻击者劫持实时客户会话,并且在某些设置中甚至可以完全控制运行商店的服务器。
安全研究员 SessionReaper CVE-2025-54236SessionReaper 位于 Magento 的一部分,负责处理商店和其他服务之间的通信。该错误源于不正确的输入验证和序列化数据的不安全处理。简单来说,Magento 有时会信任 Web 应用程序不应该信任的数据。这使得攻击者可以欺骗系统接受特制的“会话”文件作为合法用户登录,无需密码。
他们可以通过该登录执行什么操作取决于商店的配置方式,但 SecPod 的研究人员警告:
SecPod 警告“成功利用 SessionReaper 可能会导致多种严重后果,包括安全功能绕过、客户帐户接管、数据盗窃、欺诈订单以及潜在的远程代码执行。”已发布
Sansec 的传感器负责监控全球电子商务攻击,研究人员报告称,在漏洞代码公开后 24 小时内,就有超过 250 家 Magento 商店遭到入侵。
报告消费者如何确保安全
网络商店所有者应立即修补他们的 Magento 网站。不幸的是,普通购物者几乎无法判断商店是否仍然容易受到攻击或已经受到保护。
从消费者的角度来看,SessionReaper 再次提醒我们,即使是受信任的商店也可能在页面加载之间悄悄变得不安全。当像 Magento 这样广泛传播的平台受到主动攻击时,最好的防御措施通常位于商店本身之外。
反恶意软件软件