Sansec ha confirmado la explotación activa de la vulnerabilidad crítica CVE-2025-54236 (“SessionReaper”) con unos 250 intentos en un solo día. Se calcula que el 62% de las tiendas que utilizan estas plataformas siguen expuestas.
Adobe Commerce y Magento Open Source afrontan una campaña de explotación activa contra la vulnerabilidad crítica CVE-2025-54236, conocida como “SessionReaper”. Según Sansec, el pasado miércoles se registraron alrededor de 250 intentos de intrusión dirigidos a múltiples tiendas online. El fallo, con severidad CVSS 9.1, se describió como un problema de validación de entradas que puede desembocar en la toma de cuentas de clientes a través de la REST API de Commerce.
Adobe abordó la vulnerabilidad en septiembre mediante una actualización urgente para las versiones 2.4.4 a 2.4.7 y, recientemente, ha actualizado su aviso oficial para reconocer explotación en entornos reales. No obstante, la adopción del parche sigue siendo limitada: las mediciones publicadas por Sansec sitúan el porcentaje de tiendas actualizadas en torno al 38%, lo que deja expuestas aproximadamente al 62%. La propia Sansec ya había advertido que, tras filtrarse el parche una semana antes de su publicación oficial, era previsible que actores maliciosos trabajaran para explotar la vulnerabilidad. La actividad observada hasta el momento encaja con este escenario.
Entre los intentos detectados por Sansec figuran cargas de puertas traseras en PHP y consultas a phpinfo al objeto de extraer información de configuración. Parte de esta actividad se realiza a través de la ruta “/customer/address_file/upload”, presentada como una sesión falsa, según indica Sansec.
En paralelo, Searchlight Cyber ha difundido un análisis técnico que describe “SessionReaper” como un caso de deserialización anidada con potencial de ejecución remota de código. Se prevé una explotación masiva aún en las próximas horas, por lo que se insta a los usuarios a implantar los parches disponibles y mantener la plataforma actualizada en su última versión.
El evento recuerda un antecedente reciente en el mismo ecosistema: en julio de 2024 se produjo explotación a gran escala de otra vulnerabilidad crítica, “CosmicSting” (CVE-2024-34102).
Más información:
– Security Week: Exploitation of Critical Adobe Commerce Flaw Puts Many eCommerce Sites at Risk.
– The Hacker News: Over 250 Magento Stores Hit Overnight as Hackers Exploit New Adobe Commerce Flaw.
La entrada Explotación activa de “SessionReaper” en Adobe Commerce y Magento: 250 ataques en 24 horas y el 62% de las tiendas continúan expuestas se publicó primero en Una Al Día.
