유명 전자상거래 플랫폼 커머스와 마젠토에서 최악의 취약점 나와

어도비의 커머스(Commerce)와 마젠토오픈소스(Magento Open Source) 플랫폼에서 초고위험도 취약점이 발견됐다. 익스플로잇에 성공한 공격자는, 해당 플랫폼을 이용해 사업을 벌이는 회사의 고객 계정을 탈취할 수 있게 된다. 고객 보호를 위해 사용자 기업 측에서 재빠른 조치를 취해야 할 사안이다.

문제의 취약점은 CVE-2025-54236이다. 세션리퍼(SessionReaper)라고도 불린다. CVSS 기준 10점 만점에 9.1점을 받았을 정도로 위험한 것으로 분석됐다. 사용자 입력값을 제대로 검증하지 않고 처리하면서 생기는, 매우 고질적이면서도 잘 고쳐지지 않는 취약점이다. 다만 아직까지 실제 공격 사례는 없는 것으로 보인다고 어도비는 발표했다.

어도비가 공개한 내용에 따르면 “공격자는 커머스 레스트 API(Commerce REST API)를 통해 어도비 커머스 내 고객 계정을 확보할 수 있다”고 한다. 하지만 상세한 공격 방법 및 시나리오는 밝히지 않았다. 발표한 패치가 충분히 적용될 때까지는 공격과 관련된 세부 내용을 공개하지 않을 것으로 예상된다.

어떤 제품과 버전을 패치해야 하나?
시급한 패치가 필요한 버전들은 다음과 같다.
1) 어도비 커머스
- 2.4.9-alpha2 및 이전 버전
- 2.4.8-p2 및 이전 버전
- 2.4.7-p7 및 이전 버전
- 2.4.6-p12 및 이전 버전
- 2.4.5-p14 및 이전 버전
- 2.4.4-p15 및 이전 버전

2) 어도비 커머스 B2B
- 1.5.3-alpha2 및 이전 버전
- 1.5.2-p2 및 이전 버전
- 1.4.2-p7 및 이전 버전
- 1.3.4-p14 및 이전 버전
- 1.3.3-p15 및 이전 버전

3) 마젠토 오픈소스
- 2.4.9-alpha2 및 이전 버전
- 2.4.8-p2 및 이전 버전
- 2.4.7-p7 및 이전 버전
- 2.4.6-p12 및 이전 버전
- 2.4.5-p14 및 이전 버전

4) 커스텀 어트리뷰트 시리얼라이저블(Custom Attributes Serializable) 모듈
- 버전 0.1.0 \~ 0.4.0

마젠토 역사상 최악의 취약점?
마젠토는 세계에서 가장 널리 사용되는 전자상거래 플랫폼 중 하나다. 물론 전성기가 지나 후발주자들인 쇼피파이(Shopify)나 우커머스(WooCommerce), 빅커머스(BigCommerce) 등에게 밀린 상태이지만, 여전히 많은 사용자를 거느리고 있다. 코카콜라, HP, 포드 등 거대 기업들도 마젠토를 활용했었다(지금도 사용 중인지는 확인이 어렵다).

사용자가 많다는 건 취약점의 파급력이 크다는 의미다. 게다가 이번에 발견된 것이 9.1점짜리 초고위험도 취약점이니, 이를 이용하는 기업들 입장에서는 발등에 불이 떨어졌다고 해도 과언이 아니다. 일부 보안 전문가들은 이 세션리퍼 취약점이 마젠토 역사상 가장 심각한 취약점일 수 있다고까지 말한다. 그 이유는 취약점 익스플로잇 및 악용 방법이 다양하기 때문이다.

보안 전문 블로그 사이버켄드라(CyberKendra)는 “로그인 과정 없이도 고객 계정 탈취가 가능하다”며 “전 세계 수백만 스토어가 위험할 수 있다”고 경고했다. 보안 업체 샌섹(SanSec)은 “자동화 기술을 동반한 공격까지 가능하다”고 말했으며, 기욤 트로닉(Guillaume Tronix)이라는 보안 전문가는 CVE크라우드(CVECrowd)라는 웹사이트를 통해 “시급히 패치해야 할, 최악의 취약점 중 하나”라고 언급했다.

패치는 어도비 헬프 센터(Adobe Help Center, https://helpx.adobe.com/security/products/magento/apsb25-88.html?utm_source=chatgpt.com)에서 다운로드가 가능하다.

Related Materials

• SessionReaper Vulnerability Puts Magento & Adobe Commerce Sites in Hacker Crosshairs - GBHackers, 2025년
• Adobe Commerce Flaw CVE-2025-54236 Lets Hackers Take Over Customer Accounts - The Hacker News, 2025년
• SessionReaper, unauthenticated RCE in Magento & Adobe Commerce (CVE-2025-54236) - Sansec Research, 2025년
• Magento and Adobe SessionReaper Flaw Puts Thousands of Online Merchants at Risk - CyberPress, 2025년

취약점 PoC, 공개해야 하나 말아야 하나

💡Editor’s Pick - 파일 전송 솔루션 윙FTP서버에서 10점짜리 취약점 발견됨 - 이 취약점 익스플로잇 하면 원격에서 서버 통째로 장악 가능 - 잠잠했다가 PoC 공개된 이후부터 익스플로잇 시도 극성 파일 전송 기술인 윙FTP서버(Wing FTP Server)에서 초고위험도 취약점이 발견됐다. CVE-2025-47812로, CVSS 기준 10점 만점에 10점을 받았다. 익스플로잇에 성공할 경우 공격자는

The Tech Edge문가용 기자

포티넷, 초고위험도 취약점 패치하며 “실제 공격 발생” 경고

💡Editor’s Pick - 포티시엠에서 초고위험도 취약점 나와 - 실제 공격 있다는 경고도...하지만 구체적 내용은 없어 - 취약점 정보, 덮고 숨기는 게 아니라 공유하고 패치해야 보안 업체 포티넷(Fortinet)이 자사 제품에서 발견된 초고위험도 취약점을 패치하며, 고객들에게 “시급히 적용할 것”을 촉구하고 있다. 이 취약점은 CVE-2025-25256이며, CVSS 기준 10점 만점에

The Tech Edge문가용 기자