Adobe tiene prevenido de una falla de seguridad crítica en sus plataformas de código abierto Commerce y Magento que, si se explota con éxito, podría permitir a los atacantes tomar el control de las cuentas de los clientes.
La vulnerabilidad, rastreada como CVE-2025-54236 (también conocida como SessionReaper), tiene una puntuación CVSS de 9,1 sobre un máximo de 10,0. Se ha descrito como un error de validación de entradas incorrecto. Adobe ha dicho que no tiene conocimiento de ningún tipo de explotación en estado salvaje.
«Un posible atacante podría apoderarse de las cuentas de los clientes en Adobe Commerce a través de la API REST de Commerce», dijo Adobe dijo en un aviso emitido hoy.
El problema afecta a los siguientes productos y versiones:
Adobe Commerce (todos los métodos de implementación):
- 2.4.9-alpha2 y versiones anteriores
- 2.4.8-p2 y versiones anteriores
- 2.4.7-p7 y versiones anteriores
- 2.4.6-p12 y versiones anteriores
- 2.4.5-p14 y versiones anteriores
- 2.4.4-p15 y anteriores
Adobe Commerce B2B:
- 1.5.3-alpha2 y versiones anteriores
- 1.5.2-p2 y versiones anteriores
- 1.4.2-p7 y versiones anteriores
- 1.3.4-p14 y versiones anteriores
- 1.3.3-p15 y versiones anteriores
Código abierto de Magento:
- 2.4.9-alpha2 y versiones anteriores
- 2.4.8-p2 y versiones anteriores
- 2.4.7-p7 y versiones anteriores
- 2.4.6-p12 y versiones anteriores
- 2.4.5-p14 y versiones anteriores
Módulo serializable de atributos personalizados:
- Versiones 0.1.0 a 0.4.0
Adobe, además de publicar una revisión para la vulnerabilidad, dijo que había implementado reglas de firewall de aplicaciones web (WAF) para proteger los entornos contra los intentos de explotación que podrían atacar a los comerciantes que utilizan la infraestructura Adobe Commerce on Cloud.
«SessionReaper es una de las vulnerabilidades de Magento más graves de su historia, comparable a Robo en tiendas (2015), Ambionics SQLi (2019), Orden de troyanos (2022), y Picadura cósmica (2024),» la empresa de seguridad de comercio electrónico Sansec dijo .
La firma con sede en los Países Bajos dijo que había reproducido con éxito una posible forma de explotar el CVE-2025-54236, pero señaló que hay otras posibles vías para convertir la vulnerabilidad en un arma.
«La vulnerabilidad sigue un patrón conocido del ataque CosmicSting del año pasado», añadió. «El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento».
«El vector específico de ejecución remota de código parece requerir un almacenamiento de sesión basado en archivos. Sin embargo, recomendamos a los comerciantes que utilicen Redis o sesiones de bases de datos que también tomen medidas inmediatas, ya que hay varias formas de aprovechar esta vulnerabilidad».
Adobe también ha publicado correcciones para contener una vulnerabilidad crítica de cruce de rutas en ColdFusion ( CVE-2025-54261 , puntuación CVSS: 9.0) que podría provocar una escritura arbitraria en el sistema de archivos. Afecta a ColdFusion 2021 (actualización 21 y anteriores), 2023 (actualización 15 y anteriores) y 2025 (actualización 3 y anteriores) en todas las plataformas.