Redazione RHC : 10 septiembre 2025 18:44
Adobe ha informado de un error crítico (CVE-2025-54236) que afecta a las plataformas Commerce y Magento. Los investigadores han denominado esta vulnerabilidad SessionReaper y la describen como una de las más graves en la historia de estos productos.
Esta semana, los desarrolladores de Adobe ya han publicado un parche para el error de seguridad, que recibió una puntuación CVSS de 9,1. Se informa que la vulnerabilidad puede explotarse sin autenticación para tomar el control de las cuentas de los clientes a través de la API REST de Commerce.
Según expertos de la firma de ciberseguridad Sansec, Adobe notificó a «clientes selectos de Commerce» sobre la próxima corrección el 4 de septiembre, la cual se publicó el 9 de septiembre.
Los clientes que utilizan Adobe Commerce en la nube ya están protegidos por una regla WAF implementada por Adobe como medida de seguridad provisional.
Ni Adobe ni Sansec tienen conocimiento de casos en los que SessionReaper se ha utilizado en ataques del mundo real. Sin embargo, Sansec informa que la revisión inicial para CVE-2025-54236 se filtró la semana pasada, lo que significa que los atacantes tuvieron más tiempo para crear un exploit.
| Producto | Versión | Prioridad | Plataforma |
|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores | 2 | Todos |
| Adobe Commerce B2B | 1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores | 2 | Todos |
| Magento Open Source | 2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores | 2 | Todos |
Según los investigadores, para explotar con éxito el problema es necesario almacenar los datos de la sesión en el sistema de archivos (esta es la configuración predeterminada que se utiliza en la mayoría de los casos). Se recomienda encarecidamente a los administradores instalar el parche disponible lo antes posible. Sin embargo, los expertos advierten que la solución deshabilita algunas funciones internas de Magento, lo que podría causar problemas en el código personalizado y externo.
Los expertos de Sansec predicen que CVE-2025-54236 se explotará en ataques automatizados a gran escala. Señalan que esta vulnerabilidad es una de las más graves en la historia de Magento, junto con CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.
Problemas similares se han explotado en el pasado para suplantar sesiones, escalar privilegios, acceder a servicios internos y ejecutar código.
RedazioneEl 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
