A Adobe está alertando sobre uma vulnerabilidade crítica (
CVE-2025-54236
) em suas plataformas Commerce e Magento Open Source, que pesquisadores apelidaram de SessionReaper e classificaram como uma das falhas mais graves na história do produto.
Hoje, a empresa lançou um patch para corrigir essa falha de segurança que pode ser explorada sem necessidade de autenticação para assumir o controle de contas de clientes por meio do Commerce REST API.
De acordo com a empresa de segurança para e-commerce Sansec, a Adobe notificou "clientes selecionados do Commerce" em 4 de setembro sobre uma correção emergencial programada para 9 de setembro.
"A Adobe planeja liberar uma atualização de segurança para o Adobe Commerce e Magento Open Source na terça-feira, 9 de setembro de 2025", diz o comunicado.
Essa atualização resolve uma vulnerabilidade crítica.
Uma exploração bem-sucedida pode levar à bypass de recursos de segurança.
Clientes que utilizam o Adobe Commerce na Cloud já estão protegidos por uma regra de web application firewall (WAF) implementada pela Adobe como medida intermediária.
No boletim de segurança, a Adobe afirma não ter conhecimento de qualquer atividade de exploração na natureza.
O alerta da Sansec também destaca que os pesquisadores não identificaram nenhuma exploração ativa do SessionReaper até o momento.
No entanto, a Sansec informa que um hotfix inicial para a
CVE-2025-54236
foi vazado na semana passada, o que pode dar uma vantagem inicial a atores mal-intencionados na criação de um exploit.
Segundo os pesquisadores, a exploração bem-sucedida "parece" depender do armazenamento de dados de sessão no file system, uma configuração padrão utilizada pela maioria das lojas.
Os administradores são fortemente recomendados a testar e aplicar o patch disponível (download direto, arquivo ZIP) imediatamente.
Os pesquisadores alertam que a correção desabilita funcionalidades internas do Magento, o que pode causar falhas em códigos personalizados ou externos.
Para isso, a Adobe atualizou sua documentação referente às mudanças na injeção de parâmetros do construtor do Adobe Commerce REST API.
Os pesquisadores da Sansec esperam que a
CVE-2025-54236
seja explorada em larga escala por meio de automação.
Eles ressaltam que essa vulnerabilidade está entre as mais severas já identificadas no Magento, ao lado de falhas como CosmicSting, TrojanOrder, Ambionics SQLi e Shoplift.
Problemas semelhantes no passado foram utilizados para forjar sessões, escalonamento de privilégios, acesso a serviços internos e execução de código.
A empresa de segurança conseguiu reproduzir o exploit SessionReaper, mas não divulgou o código nem detalhes técnicos, afirmando apenas que "a vulnerabilidade segue um padrão familiar do ataque CosmicSting do ano passado."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...