麦尽斗Magento高危漏洞可劫持会话并实现远程代码执行(CVE-2025-54236)
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Akamai安全情报小组警告,Magento漏洞SessionReaper(CVE-2025-54236)被广泛利用,攻击者可劫持用户会话并执行远程代码。自2025年10月22日起,已监测到300多次攻击尝试,建议尽快打补丁以防止进一步损害。
🎯
关键要点
- Akamai安全情报小组发布警告,Magento漏洞SessionReaper(CVE-2025-54236)被广泛利用。
- 该漏洞允许攻击者劫持用户会话并执行远程代码,评级为高危。
- 自2025年10月22日起,监测到300多次针对130多个主机的攻击尝试。
- 漏洞源于Magento会话处理逻辑中的输入验证缺陷,攻击者可执行任意PHP代码。
- PoC代码公开后,恶意流量激增,攻击者使用侦察手段和WebShell进行攻击。
- Magento广泛应用于在线零售平台,成为网络犯罪分子的目标。
- Akamai建议立即打补丁以防止进一步损害,强调漏洞的高危性质和普遍性。
➡️
