Redazione RHC : 10 septiembre 2025 18:44
Adobe ha informado de un error crítico (CVE-2025-54236) que afecta a las plataformas Commerce y Magento. Los investigadores han denominado esta vulnerabilidad SessionReaper y la describen como una de las más graves en la historia de estos productos.
Esta semana, los desarrolladores de Adobe ya han publicado un parche para el error de seguridad, que recibió una puntuación CVSS de 9,1. Se informa que la vulnerabilidad puede explotarse sin autenticación para tomar el control de las cuentas de los clientes a través de la API REST de Commerce.
Según expertos de la firma de ciberseguridad Sansec, Adobe notificó a «clientes selectos de Commerce» sobre la próxima corrección el 4 de septiembre, la cual se publicó el 9 de septiembre.
Los clientes que utilizan Adobe Commerce en la nube ya están protegidos por una regla WAF implementada por Adobe como medida de seguridad provisional.
Ni Adobe ni Sansec tienen conocimiento de casos en los que SessionReaper se ha utilizado en ataques del mundo real. Sin embargo, Sansec informa que la revisión inicial para CVE-2025-54236 se filtró la semana pasada, lo que significa que los atacantes tuvieron más tiempo para crear un exploit.
| Producto | Versión | Prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores | 2 | Todos |
| Adobe Commerce B2B | 1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores | 2 | Todos |
| Magento Open Source | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores | 2 | Todos |
Según los investigadores, para explotar con éxito el problema es necesario almacenar los datos de la sesión en el sistema de archivos (esta es la configuración predeterminada que se utiliza en la mayoría de los casos). Se recomienda encarecidamente a los administradores instalar el parche disponible lo antes posible. Sin embargo, los expertos advierten que la solución deshabilita algunas funciones internas de Magento, lo que podría causar problemas en el código personalizado y externo.
Los expertos de Sansec predicen que CVE-2025-54236 se explotará en ataques automatizados a gran escala. Señalan que esta vulnerabilidad es una de las más graves en la historia de Magento, junto con CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.
Problemas similares se han explotado en el pasado para suplantar sesiones, escalar privilegios, acceder a servicios internos y ejecutar código.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
