Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Vulnerabilidad crítica en Adobe Commerce y Magento: el error SessionReaper

Redazione RHC : 10 septiembre 2025 18:44

Adobe ha informado de un error crítico (CVE-2025-54236) que afecta a las plataformas Commerce y Magento. Los investigadores han denominado esta vulnerabilidad SessionReaper y la describen como una de las más graves en la historia de estos productos.

Esta semana, los desarrolladores de Adobe ya han publicado un parche para el error de seguridad, que recibió una puntuación CVSS de 9,1. Se informa que la vulnerabilidad puede explotarse sin autenticación para tomar el control de las cuentas de los clientes a través de la API REST de Commerce.

Según expertos de la firma de ciberseguridad Sansec, Adobe notificó a «clientes selectos de Commerce» sobre la próxima corrección el 4 de septiembre, la cual se publicó el 9 de septiembre.

Los clientes que utilizan Adobe Commerce en la nube ya están protegidos por una regla WAF implementada por Adobe como medida de seguridad provisional.

Ni Adobe ni Sansec tienen conocimiento de casos en los que SessionReaper se ha utilizado en ataques del mundo real. Sin embargo, Sansec informa que la revisión inicial para CVE-2025-54236 se filtró la semana pasada, lo que significa que los atacantes tuvieron más tiempo para crear un exploit.

ProductoVersiónPrioridadPlataforma
Adobe Commerce2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores 2.4.4-p15 y anteriores2Todos
Adobe Commerce B2B1.5.3-alpha2 y anteriores 1.5.2-p2 y anteriores 1.4.2-p7 y anteriores 1.3.4-p14 y anteriores 1.3.3-p15 y anteriores2Todos
Magento Open Source2.4.9-alpha2 y anteriores 2.4.8-p2 y anteriores 2.4.7-p7 y anteriores 2.4.6-p12 y anteriores 2.4.5-p14 y anteriores2Todos

Según los investigadores, para explotar con éxito el problema es necesario almacenar los datos de la sesión en el sistema de archivos (esta es la configuración predeterminada que se utiliza en la mayoría de los casos). Se recomienda encarecidamente a los administradores instalar el parche disponible lo antes posible. Sin embargo, los expertos advierten que la solución deshabilita algunas funciones internas de Magento, lo que podría causar problemas en el código personalizado y externo.

Los expertos de Sansec predicen que CVE-2025-54236 se explotará en ataques automatizados a gran escala. Señalan que esta vulnerabilidad es una de las más graves en la historia de Magento, junto con CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.

Problemas similares se han explotado en el pasado para suplantar sesiones, escalar privilegios, acceder a servicios internos y ejecutar código.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...

Ataques globales a dispositivos Cisco: las agencias cibernéticas advierten sobre una crisis en curso
Di Redazione RHC - 29/09/2025

Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...

¡Instalador falso de Microsoft Teams! Certificados de un solo uso y una puerta trasera en la descarga.
Di Antonio Piazzolla - 29/09/2025

Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...

Defectos críticos en los robots chinos. Un robot zombi Bonet puede controlarse remotamente.
Di Redazione RHC - 28/09/2025

El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...