Adobe ha advertido sobre fallas de seguridad críticas en su plataforma comercial y de código abierto de Magento, lo que permite a los atacantes controlar las cuentas de los clientes.
La vulnerabilidad rastreada como CVE-2025-54236 (también conocido como SessionReaper) conlleva un puntaje CVSS de hasta 9.1 de 10.0. Se describe como un defecto en la verificación de entrada inapropiada. Adobe dijo que no saben sobre los exploits en la naturaleza.
«Los atacantes potenciales pueden hacerse cargo de las cuentas de clientes de Adobe Commerce a través de la API de comercio REST», dijo Adobe en un aviso publicado hoy.
Este problema afecta los siguientes productos y versiones –
Adobe Commerce (todos los métodos de implementación):
2.4.9-Alpha2 y anterior 2.4.8-P2 y anteriores 2.4.7-P7 y principios 2.4.6-P12 y principios 2.4.5-P14 y anteriores 2.4.4-P15 y anteriores
Adobe Commerce B2B:
1.5.3-alfa2 y 1.5.2-p2 y 1.4.2-p7 y 1.3.4-p14 y 1.3.3-p15 y 1.3.3-p15 y 1.5.2-p2
Magento Open Source:
2.4.9-alfa2 y anterior 2.4.8-p2 y anterior 2.4.7-p7 y anterior 2.4.6-p12 y anterior 2.4.5-p14 y antes
Atributo personalizado Módulo serializable:
Además de lanzar HotFix para la vulnerabilidad, Adobe dijo que había implementado reglas de firewall de aplicaciones web (WAF) para proteger los entornos que podrían dirigir a los vendedores con Adobe Commerce, una infraestructura en la nube.
«SessionReaper es una de las vulnerabilidades magentes más serias en la historia comparables a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)».
La compañía con sede en los Países Bajos dijo que había replicado con éxito una de las posibles formas de utilizar CVE-2025-54236, pero señaló que hay otras formas posibles de armarse vulnerabilidades.
«La vulnerabilidad sigue el patrón familiar de los ataques espaciales del año pasado», agregó. «Este ataque combina sesiones maliciosas con errores de deserialización ágil anidados en la API REST de Magento».
«Los vectores de ejecución de código remoto específicos parecen requerir el almacenamiento de sesión basado en archivos. Sin embargo, hay varias formas de explotar esta vulnerabilidad, por lo que le recomendamos que use Redis o una sesión de base de datos para realizar acciones de inmediato».
Adobe también ha enviado correcciones que contienen una vulnerabilidad transversal pasada crítica en Coldfusion (CVE-2025-54261, CVSS Puntuación: 9.0) que puede llevar a escribir a cualquier sistema de archivos. Afectará todas las plataformas en Coldfusion 2021 (actualización 21 y anterior), 2023 (menos de 15) y 2025 (actualización 3 y anterior).
Source link
