Adobe ha advertido sobre un defecto de seguridad crítico en sus plataformas de comercio y código abierto de Magento que, si se explotan con éxito, podrían permitir a los atacantes tomar el control de las cuentas de los clientes.
La vulnerabilidad, rastreada como CVE-2025-54236 (también conocida como SessionReaper), conlleva una puntuación CVSS de 9.1 de un máximo de 10.0. Se ha descrito como una falla de validación de entrada inadecuada. Adobe dijo que no es consciente de ninguna hazaña en la naturaleza.
«Un posible atacante podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de comercio REST», dijo Adobe en un aviso emitido hoy.
El problema afecta los siguientes productos y versiones –
Adobe Commerce (todos los métodos de implementación):
- 2.4.9-alfa2 y antes
- 2.4.8-P2 y antes
- 2.4.7-P7 y antes
- 2.4.6-P12 y antes
- 2.4.5-p14 y antes
- 2.4.4-p15 y antes
Adobe Commerce B2B:
- 1.5.3-alfa2 y antes
- 1.5.2-P2 y antes
- 1.4.2-p7 y antes
- 1.3.4-p14 y antes
- 1.3.3-P15 y antes
Magento Open Source:
- 2.4.9-alfa2 y antes
- 2.4.8-P2 y antes
- 2.4.7-P7 y antes
- 2.4.6-P12 y antes
- 2.4.5-p14 y antes
Atributos personalizados Módulo serializable:
Adobe, además de lanzar una figura para la vulnerabilidad, dijo que ha implementado reglas de firewall de aplicaciones web (WAF) para proteger los entornos contra los intentos de explotación que pueden dirigirse a comerciantes que usan Adobe Commerce en la infraestructura en la nube.
«SessionReaper es una de las vulnerabilidades magento más severas en su historia, comparable a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)», dijo la compañía de seguridad de comercio electrónico Sansec.
La firma de los Países Bajos dijo que reprodujo con éxito una posible forma de explotar CVE-2025-54236, pero señaló que hay otras posibles vías para armarse la vulnerabilidad.
«La vulnerabilidad sigue un patrón familiar del ataque Cosmicsting del año pasado», agregó. «El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento».
«El vector de ejecución de código remoto específico parece requerir el almacenamiento de la sesión basado en archivos. Sin embargo, recomendamos que los comerciantes que usan Redis o sesiones de base de datos también tomen medidas inmediatas, ya que hay múltiples formas de abusar de esta vulnerabilidad».
Adobe también ha enviado correcciones para contener una vulnerabilidad transversal de ruta crítica en ColdFusion (CVE-2025-54261, CVSS Puntuación: 9.0) que podría conducir a una escritura arbitraria del sistema de archivos. Impacta ColdFusion 2021 (actualización 21 y anterior), 2023 (actualización 15 y anterior) y 2025 (actualización 3 y anterior) en todas las plataformas.