La empresa de seguridad de comercio electrónico Sansec advirtió que los actores de amenazas han comenzado a explotar una vulnerabilidad de seguridad recientemente revelada en las plataformas Adobe Commerce y Magento Open Source, con más de 250 intentos de ataque registrados contra múltiples tiendas en las últimas 24 horas.
La vulnerabilidad en cuestión es CVE-2025-54236 (puntuación CVSS: 9,1), una falla crítica de validación de entrada incorrecta que podría utilizarse para hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API REST de Commerce.
También conocido como SessionReaper, Adobe lo abordó el mes pasado. A un investigador de seguridad que se hace llamar Blaklis se le atribuye el descubrimiento y la divulgación responsable de CVE-2025-54236.
La compañía holandesa dijo que el 62% de las tiendas Magento siguen siendo vulnerables a la falla de seguridad seis semanas después de la divulgación pública, e instó a los administradores de sitios web a aplicar los parches lo antes posible antes de que se recupere una actividad de explotación más amplia.
Los ataques se originaron desde las siguientes direcciones IP, y actores de amenazas desconocidos aprovecharon la falla para soltar PHP webshells o sondear phpinfo para extraer información de configuración de PHP.
- 34.227.25(.)4
- 44.212.43(.)34
- 54.205.171(.)35
- 155.117.84(.)134
- 159.89.12(.)166
«Las puertas traseras de PHP se cargan a través de ‘/customer/address_file/upload’ como una sesión falsa», dijo Sansec.
El desarrollo se produce cuando Searchlight Cyber publicó un análisis técnico detallado de CVE-2025-54236, describiéndolo como una falla de deserialización anidada que permite la ejecución remota de código.
Vale la pena señalar que CVE-2025-54236 es la segunda vulnerabilidad de deserialización que afecta a las plataformas Adobe Commerce y Magento en otros tantos años. En julio de 2024, otra falla crítica denominada CosmicSting (CVE-2024-34102, puntuación CVSS: 9,8) fue objeto de una explotación generalizada.
Con exploits de prueba de concepto (PoC) y detalles adicionales que ahora ingresan al dominio público, es imperativo que los usuarios actúen rápidamente para aplicar las correcciones.