sep 10, 2025Ravie Lakshmananvulnerabilidad / seguridad de software Adobe advirtió sobre una falla de seguridad crítica en sus plataformas de comercio y código abierto de Magento que, si se explotan con éxito, podrían permitir a los atacantes tomar el control de las cuentas de los clientes. La vulnerabilidad, rastreada como CVE-2025-54236 (también conocida como SessionReaper), conlleva una puntuación CVSS de 9.1 de un máximo de 10.0. Se ha descrito como una falla de validación de entrada inadecuada. Adobe dijo que no es consciente de ninguna hazaña en la naturaleza. «Un posible atacante podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de comercio REST», dijo Adobe en un aviso emitido hoy. El problema impacta los siguientes productos y versiones: Adobe Commerce (todos los métodos de implementación): 2.4.9-Alpha2 y anteriores 2.4.8-P2 y anteriores 2.4.7-P7 y anteriores 2.4.6-P12 y anteriores 2.4.5-p14 y 2.4.4-p15 y Adobe Commerce B2B: 1.5.3-alfa2 y más temprano 1. 1.3.3-P15 y Magento Open Open: 2.4.9-Alpha2 y anteriormente 2.4.8-P2 y anteriores 2.4.7-P7 y 2.4.6-p12 y anteriores 2.4.5-P14 y atributos anteriores de los atributos del módulo serializable: Adobe, además de lanzar un hotfix para los comerciantes de la vulnerabilidad, dicho que ha implementado las reglas de aplicaciones de aplicaciones (WAF) a los entornos de protección contra los entornos de explotación de explotación de la expulsión de la vulnerabilidad. Comercio sobre infraestructura en la nube. «SessionReaper es una de las vulnerabilidades magento más severas en su historia, comparable a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)», dijo la compañía de seguridad de comercio electrónico Sansec. La firma de los Países Bajos dijo que reprodujo con éxito una posible forma de explotar CVE-2025-54236, pero señaló que hay otras posibles vías para armarse la vulnerabilidad. «La vulnerabilidad sigue un patrón familiar del ataque Cosmicsting del año pasado», agregó. «El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento». «El vector de ejecución de código remoto específico parece requerir el almacenamiento de la sesión basado en archivos. Sin embargo, recomendamos que los comerciantes que usan Redis o sesiones de base de datos también tomen medidas inmediatas, ya que hay múltiples formas de abusar de esta vulnerabilidad». Adobe también ha enviado correcciones para contener una vulnerabilidad transversal de ruta crítica en ColdFusion (CVE-2025-54261, CVSS Puntuación: 9.0) que podría conducir a una escritura arbitraria del sistema de archivos. Impacta ColdFusion 2021 (actualización 21 y anterior), 2023 (actualización 15 y anterior) y 2025 (actualización 3 y anterior) en todas las plataformas.