Adobe ha segnalato un bug critico (CVE-2025-54236) che colpisce le piattaforme Commerce e Magento. I ricercatori hanno chiamato questa vulnerabilità SessionReaper e la descrivono come una delle più gravi nella storia di questi prodotti.
Questa settimana, gli sviluppatori Adobe hanno già rilasciato una patch per il bug di sicurezza, che ha ricevuto un punteggio CVSS di 9,1. Si segnala che la vulnerabilità può essere sfruttata senza autenticazione per prendere il controllo degli account dei clienti tramite l’API REST di Commerce.
Secondo gli esperti della società di sicurezza informatica Sansec, il 4 settembre Adobe ha notificato a “clienti Commerce selezionati” l’imminente correzione, che è stata rilasciata il 9 settembre.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I clienti che utilizzano Adobe Commerce su Cloud sono già protetti da una regola WAF implementata da Adobe come misura di sicurezza provvisoria.
Né Adobe né Sansec sono a conoscenza di casi in cui SessionReaper sia stato utilizzato in attacchi reali. Tuttavia, Sansec segnala che l’hotfix iniziale per CVE-2025-54236 è trapelato la scorsa settimana, il che significa che gli aggressori hanno avuto più tempo per creare un exploit.
| Product | Version | Priority Rating | Platform |
|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 and earlier2.4.8-p2 and earlier2.4.7-p7 and earlier2.4.6-p12 and earlier2.4.5-p14 and earlier2.4.4-p15 and earlier | 2 | All |
| Adobe Commerce B2B | 1.5.3-alpha2 and earlier1.5.2-p2 and earlier1.4.2-p7 and earlier1.3.4-p14 and earlier1.3.3-p15 and earlier | 2 | All |
| Magento Open Source | 2.4.9-alpha2 and earlier2.4.8-p2 and earlier2.4.7-p7 and earlier2.4.6-p12 and earlier2.4.5-p14 and earlier | 2 | All |
Secondo i ricercatori, lo sfruttamento efficace del problema dipende dalla memorizzazione dei dati della sessione nel file system (questa è la configurazione predefinita utilizzata nella maggior parte dei casi). Si consiglia vivamente agli amministratori di installare la patch disponibile il prima possibile. Tuttavia, gli esperti avvertono che la correzione disabilita alcune funzioni interne di Magento e questo potrebbe causare problemi nel codice personalizzato ed esterno.
Gli esperti di Sansec prevedono che CVE-2025-54236 verrà sfruttata in attacchi automatizzati su larga scala. Fanno notare che questa vulnerabilità è tra le più gravi nella storia di Magento, insieme a CosmicSting , TrojanOrder , Ambionics SQLi e Shoplift .
In passato, problemi simili sono stati sfruttati per falsificare sessioni, aumentare i privilegi, accedere a servizi interni ed eseguire codice.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cultura
Cybercrime
Cybercrime
Cybercrime