麦尽斗Magento高危漏洞可劫持会话并实现远程代码执行（CVE-2025-54···

发布时间：2025-10-29 作者：量子计算来源：量子计算浏览量（94）点赞（25）

摘要：CVE-2025-54236是Magento高危漏洞，可导致会话劫持与远程代码执行，Akamai警告该漏洞正被活跃利用，需立即采取补丁措施保护电商系统安全。

简介

Akamai安全情报小组发布紧急警告称，新披露的Magento漏洞SessionReap（CVE-2025-54236）正遭活跃利用，该高危漏洞允许攻击者劫持用户会话并实现远程代码执行，对电商平台构成严重威胁，适用于未及时更新的Magento系统。

核心详情

该漏洞源于Magento会话管理机制中的反序列化缺陷，攻击者通过构造恶意会话数据触发反序列化过程，从而在服务器端执行任意代码。Akamai监测显示，攻击链涉及利用未授权接口注入恶意负载，导致会话劫持和系统控制。技术原理上，漏洞利用PHP反序列化漏洞结合特定输入验证绕过，使攻击者能提升权限至管理员级别。信息来源包括Akamai公开威胁报告及漏洞数据库记录，已观察到实际攻击案例针对全球电商站点，强调需立即评估系统补丁状态。

适用范围

适用于使用Magento开源或商业版的电商企业、系统管理员及安全运维团队，尤其影响未安装最新安全更新的2.x及以上版本实例，涉及在线零售、支付处理等高风险场景。

推荐措施

1、立即应用Magento官方发布的CVE-2025-54236补丁，并通过管理面板验证更新状态；

2、部署Web应用防火墙规则检测异常会话请求，定期审计系统日志并限制反序列化操作权限，参考OWASP反序列化防护指南。