2025年9月9日、Adobe Commerce/Magento Open Sourceに、未認証で悪用可能な重大な脆弱性「SessionReaper(CVE-2025-54236)」が見つかり、Adobeが緊急(OOB)ホットフィックスを公開しました。早急なパッチ適用をお勧めします。
脆弱性影響バージョン
Adobe Commerce の「2.4.9-alpha2 以前/2.4.8-p2 以前/2.4.7-p7 以前/2.4.6-p12 以前/2.4.5-p14 以前/2.4.4-p15 以前」、
Adobe Commerce B2B の「1.5.3-alpha2 以前/1.5.2-p2 以前/1.4.2-p7 以前/1.3.4-p14 以前/1.3.3-p15 以前」、および
Magento Open Source の「2.4.9-alpha2 以前/2.4.8-p2 以前/2.4.7-p7 以前/2.4.6-p12 以前/2.4.5-p14 以前」が影響対象です。
脆弱性の対処バージョン
Adobe は APSB25-88 で CVE-2025-54236 向けホットフィックスを公開しており、Adobe Commerce/Magento Open Source の 2.4.4~2.4.7 系に適用可能と案内しています(最新バージョンへ更新することを推奨)
深刻度
本件は CVSS 9.1(Critical)で評価され、認証不要・管理者権限不要・ユーザー操作不要で悪用可能な重大性です。
Adobe は「Security feature bypass(セキュリティ機能の迂回)」と定義しています。加えて、第三者分析では RCE の現実的リスクにも言及があり、早急な適用と監視強化が求められます。
タイムライン(公開情報ベース)
-
2025/8/22:Adobeが社内で緊急修正を協議。
-
2025/9/4:一部顧客へ私信で周知(同上)。
-
2025/9/9:公式ブリテン APSB25-88 とホットフィックスを公開。
参照
SessionReaper, unauthenticated RCE in Magento & Adobe Commerce (CVE-2025-54236)





に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)

