Adobe ha listo sobre un defecto de seguridad crítico en sus plataformas de comercio y código hendido de Magento que, si se explotan con éxito, podrían permitir a los atacantes tomar el control de las cuentas de los clientes.
La vulnerabilidad, rastreada como CVE-2025-54236 (todavía conocida como SessionReaper), conlleva una puntuación CVSS de 9.1 de un mayor de 10.0. Se ha descrito como una error de subsistencia de entrada inadecuada. Adobe dijo que no es consciente de ninguna correr en la naturaleza.
“Un posible atacante podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de comercio REST”, dijo Adobe en un aviso emitido hoy.
El problema afecta los siguientes productos y versiones –
Adobe Commerce (todos los métodos de implementación):
- 2.4.9-alfa2 y antaño
- 2.4.8-P2 y antaño
- 2.4.7-P7 y antaño
- 2.4.6-P12 y antaño
- 2.4.5-p14 y antaño
- 2.4.4-p15 y antaño
Adobe Commerce B2B:
- 1.5.3-alfa2 y antaño
- 1.5.2-P2 y antaño
- 1.4.2-p7 y antaño
- 1.3.4-p14 y antaño
- 1.3.3-P15 y antaño
Magento Open Source:
- 2.4.9-alfa2 y antaño
- 2.4.8-P2 y antaño
- 2.4.7-P7 y antaño
- 2.4.6-P12 y antaño
- 2.4.5-p14 y antaño
Atributos personalizados Módulo serializable:
Adobe, encima de propalar una figura para la vulnerabilidad, dijo que ha implementado reglas de firewall de aplicaciones web (WAF) para proteger los entornos contra los intentos de explotación que pueden dirigirse a comerciantes que usan Adobe Commerce en la infraestructura en la nubarrón.
“SessionReaper es una de las vulnerabilidades magento más severas en su historia, comparable a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)”, dijo la compañía de seguridad de comercio electrónico Sansec.
La firma de los Países Bajos dijo que reprodujo con éxito una posible forma de explotar CVE-2025-54236, pero señaló que hay otras posibles vías para armarse la vulnerabilidad.
“La vulnerabilidad sigue un patrón natural del ataque Cosmicsting del año pasado”, agregó. “El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento”.
“El vector de ejecución de código remoto específico parece requerir el almacenamiento de la sesión basado en archivos. Sin bloqueo, recomendamos que los comerciantes que usan Redis o sesiones de almohadilla de datos todavía tomen medidas inmediatas, ya que hay múltiples formas de excederse de esta vulnerabilidad”.
Adobe todavía ha enviado correcciones para contener una vulnerabilidad transversal de ruta crítica en ColdFusion (CVE-2025-54261, CVSS Puntuación: 9.0) que podría conducir a una escritura arbitraria del sistema de archivos. Impacta ColdFusion 2021 (aggiornamento 21 y antedicho), 2023 (aggiornamento 15 y antedicho) y 2025 (aggiornamento 3 y antedicho) en todas las plataformas.
