Redazione RHC : 10 septiembre 2025 18:44
Adobe ha informado de un error crítico (CVE-2025-54236) que afecta a las plataformas Commerce y Magento. Los investigadores han denominado esta vulnerabilidad SessionReaper y la describen como una de las más graves en la historia de estos productos.
Esta semana, los desarrolladores de Adobe ya han publicado un parche para el error de seguridad, que recibió una puntuación CVSS de 9,1. Se informa que la vulnerabilidad puede explotarse sin autenticación para tomar el control de las cuentas de los clientes a través de la API REST de Commerce.
Según expertos de la firma de ciberseguridad Sansec, Adobe notificó a «clientes selectos de Commerce» sobre la próxima corrección el 4 de septiembre, la cual se publicó el 9 de septiembre.
Los clientes que utilizan Adobe Commerce en la nube ya están protegidos por una regla WAF implementada por Adobe como medida de seguridad provisional.
Ni Adobe ni Sansec tienen conocimiento de casos en los que SessionReaper se ha utilizado en ataques del mundo real. Sin embargo, Sansec informa que la revisión inicial para CVE-2025-54236 se filtró la semana pasada, lo que significa que los atacantes tuvieron más tiempo para crear un exploit.
| Producto | Versión | Prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores | 2 | Todos |
| Adobe Commerce B2B | 1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores | 2 | Todos |
| Magento Open Source | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores | 2 | Todos |
Según los investigadores, para explotar con éxito el problema es necesario almacenar los datos de la sesión en el sistema de archivos (esta es la configuración predeterminada que se utiliza en la mayoría de los casos). Se recomienda encarecidamente a los administradores instalar el parche disponible lo antes posible. Sin embargo, los expertos advierten que la solución deshabilita algunas funciones internas de Magento, lo que podría causar problemas en el código personalizado y externo.
Los expertos de Sansec predicen que CVE-2025-54236 se explotará en ataques automatizados a gran escala. Señalan que esta vulnerabilidad es una de las más graves en la historia de Magento, junto con CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.
Problemas similares se han explotado en el pasado para suplantar sesiones, escalar privilegios, acceder a servicios internos y ejecutar código.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
