Redazione RHC : 10 septiembre 2025 18:44
Adobe ha informado de un error crítico (CVE-2025-54236) que afecta a las plataformas Commerce y Magento. Los investigadores han denominado esta vulnerabilidad SessionReaper y la describen como una de las más graves en la historia de estos productos.
Esta semana, los desarrolladores de Adobe ya han publicado un parche para el error de seguridad, que recibió una puntuación CVSS de 9,1. Se informa que la vulnerabilidad puede explotarse sin autenticación para tomar el control de las cuentas de los clientes a través de la API REST de Commerce.
Según expertos de la firma de ciberseguridad Sansec, Adobe notificó a «clientes selectos de Commerce» sobre la próxima corrección el 4 de septiembre, la cual se publicó el 9 de septiembre.
Los clientes que utilizan Adobe Commerce en la nube ya están protegidos por una regla WAF implementada por Adobe como medida de seguridad provisional.
Ni Adobe ni Sansec tienen conocimiento de casos en los que SessionReaper se ha utilizado en ataques del mundo real. Sin embargo, Sansec informa que la revisión inicial para CVE-2025-54236 se filtró la semana pasada, lo que significa que los atacantes tuvieron más tiempo para crear un exploit.
| Producto | Versión | Prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores | 2 | Todos |
| Adobe Commerce B2B | 1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores | 2 | Todos |
| Magento Open Source | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores | 2 | Todos |
Según los investigadores, para explotar con éxito el problema es necesario almacenar los datos de la sesión en el sistema de archivos (esta es la configuración predeterminada que se utiliza en la mayoría de los casos). Se recomienda encarecidamente a los administradores instalar el parche disponible lo antes posible. Sin embargo, los expertos advierten que la solución deshabilita algunas funciones internas de Magento, lo que podría causar problemas en el código personalizado y externo.
Los expertos de Sansec predicen que CVE-2025-54236 se explotará en ataques automatizados a gran escala. Señalan que esta vulnerabilidad es una de las más graves en la historia de Magento, junto con CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.
Problemas similares se han explotado en el pasado para suplantar sesiones, escalar privilegios, acceder a servicios internos y ejecutar código.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
