La empresa de seguridad de comercio electrónico Sansec advirtió que los actores de amenazas han comenzado a explotar una vulnerabilidad de seguridad recientemente revelada en las plataformas Adobe Commerce y Magento Open Source, con más de 250 intentos de ataque registrados contra múltiples tiendas en las últimas 24 horas.
La vulnerabilidad en cuestión es CVE-2025-54236 (puntuación CVSS: 9,1), una descompostura crítica de subsistencia de entrada incorrecta que podría utilizarse para hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API REST de Commerce.
Además conocido como SessionReaper, Adobe lo abordó el mes pasado. A un investigador de seguridad que se hace chillar Blaklis se le atribuye el descubrimiento y la divulgación responsable de CVE-2025-54236.
La compañía holandesa dijo que el 62% de las tiendas Magento siguen siendo vulnerables a la descompostura de seguridad seis semanas luego de la divulgación pública, e instó a los administradores de sitios web a aplicar los parches lo ayer posible ayer de que se recupere una actividad de explotación más amplia. Desde entonces, Adobe ha revisado su aviso para confirmar los informes de explotación salvaje de CVE-2025-54236.
Los ataques se originaron desde las siguientes direcciones IP, y actores de amenazas desconocidos aprovecharon la descompostura para soltar PHP webshells o sondear phpinfo para extraer información de configuración de PHP.
- 34.227.25(.)4
- 44.212.43(.)34
- 54.205.171(.)35
- 155.117.84(.)134
- 159.89.12(.)166
“Las puertas traseras de PHP se cargan a través de ‘/customer/address_file/upload’ como una sesión falsa”, dijo Sansec.
El incremento se produce cuando Searchlight Cyber publicó un examen técnico detallado de CVE-2025-54236, describiéndolo como una descompostura de deserialización anidada que permite la ejecución remota de código.
Vale la pena señalar que CVE-2025-54236 es la segunda vulnerabilidad de deserialización que afecta a las plataformas Adobe Commerce y Magento en otros tantos primaveras. En julio de 2024, otra descompostura crítica denominada CosmicSting (CVE-2024-34102, puntuación CVSS: 9,8) fue objeto de una explotación generalizada.
Con exploits de prueba de concepto (PoC) y detalles adicionales que ahora ingresan al dominio divulgado, es imperativo que los usuarios actúen rápidamente para aplicar las correcciones.
