La firma de seguridad de comercio electrónico Sansec advirtió que los atacantes han comenzado a explotar vulnerabilidades de seguridad reveladas recientemente en las plataformas de código abierto Adobe Commerce y Magento, con más de 250 intentos de ataque registrados contra múltiples tiendas en las últimas 24 horas.
La vulnerabilidad en cuestión es CVE-2025-54236 (puntaje CVSS: 9.1), que tiene una falla crítica en la validación de entrada incorrecta que puede explotarse para hacerse cargo de las cuentas de clientes de Adobe Commerce a través de la API REST de Commerce.
Adobe solucionó este problema, también conocido como SessionReaper, el mes pasado. A un investigador de seguridad llamado Blaklis se le atribuye el descubrimiento y la divulgación responsable de CVE-2025-54236.
La compañía holandesa dijo que el 62% de las tiendas Magento siguen siendo vulnerables a la falla de seguridad seis semanas después de su lanzamiento, y pidió a los administradores de sitios web que la parcheen lo antes posible antes de que se active una actividad generalizada de explotación.
El ataque se origina en las siguientes direcciones IP y permite que un atacante desconocido aproveche esta falla para colocar un shell web PHP e inspeccionar phpinfo para extraer información de configuración de PHP.
34.227.25(.)4 44.212.43(.)34 54.205.171(.)35 155.117.84(.)134 159.89.12(.)166
«La puerta trasera PHP se carga a través de ‘/customer/address_file/upload’ como una sesión falsa», dijo Sansec.
Este desarrollo se produce después de que Searchlight Cyber publicara un análisis técnico detallado de CVE-2025-54236, describiéndolo como una falla de deserialización anidada que permite la ejecución remota de código.
Vale la pena señalar que CVE-2025-54236 es la segunda vulnerabilidad de deserialización que afecta a las plataformas Adobe Commerce y Magento en los últimos años. En julio de 2024, se explotó ampliamente otra falla crítica llamada CosmicSting (CVE-2024-34102, puntuación CVSS: 9,8).
Ahora que el exploit de prueba de concepto (PoC) y los detalles adicionales son de dominio público, es imperativo que los usuarios actúen rápidamente para aplicar la solución.
Source link
