Vulnerabilità critica in Adobe Commerce e Magento: il bug SessionReaper

Adobe ha segnalato un bug critico (CVE-2025-54236) che colpisce le piattaforme Commerce e Magento. I ricercatori hanno chiamato questa vulnerabilità SessionReaper e la descrivono come una delle più gravi nella storia di questi prodotti.

Questa settimana, gli sviluppatori Adobe hanno già rilasciato una patch per il bug di sicurezza, che ha ricevuto un punteggio CVSS di 9,1. Si segnala che la vulnerabilità può essere sfruttata senza autenticazione per prendere il controllo degli account dei clienti tramite l’API REST di Commerce.

Secondo gli esperti della società di sicurezza informatica Sansec, il 4 settembre Adobe ha notificato a “clienti Commerce selezionati” l’imminente correzione, che è stata rilasciata il 9 settembre.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I clienti che utilizzano Adobe Commerce su Cloud sono già protetti da una regola WAF implementata da Adobe come misura di sicurezza provvisoria.

Né Adobe né Sansec sono a conoscenza di casi in cui SessionReaper sia stato utilizzato in attacchi reali. Tuttavia, Sansec segnala che l’hotfix iniziale per CVE-2025-54236 è trapelato la scorsa settimana, il che significa che gli aggressori hanno avuto più tempo per creare un exploit.

Secondo i ricercatori, lo sfruttamento efficace del problema dipende dalla memorizzazione dei dati della sessione nel file system (questa è la configurazione predefinita utilizzata nella maggior parte dei casi). Si consiglia vivamente agli amministratori di installare la patch disponibile il prima possibile. Tuttavia, gli esperti avvertono che la correzione disabilita alcune funzioni interne di Magento e questo potrebbe causare problemi nel codice personalizzato ed esterno.

Gli esperti di Sansec prevedono che CVE-2025-54236 verrà sfruttata in attacchi automatizzati su larga scala. Fanno notare che questa vulnerabilità è tra le più gravi nella storia di Magento, insieme a CosmicSting , TrojanOrder , Ambionics SQLi e Shoplift .

In passato, problemi simili sono stati sfruttati per falsificare sessioni, aumentare i privilegi, accedere a servizi interni ed eseguire codice.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.
Aree di competenza: