Underc0de - La Casa de los Informáticos

Los piratas informáticos están explotando de manera activa la vulnerabilidad crítica SessionReaper (CVE-2025-54236) que afecta a las plataformas Adobe Commerce (anteriormente conocidas como Magento), una de las soluciones de comercio electrónico más utilizadas a nivel mundial. La firma especializada Sansec, experta en seguridad de tiendas online, ha confirmado cientos de intentos de ataque registrados en los últimos días, marcando una nueva ola de explotación masiva que amenaza a miles de negocios digitales.

Una vulnerabilidad catalogada como una de las más graves de Adobe Commerce

La vulnerabilidad CVE-2025-54236, identificada en septiembre de 2025, fue descrita por Sansec como "uno de los errores de seguridad más graves en la historia del producto". Adobe emitió una advertencia oficial el 8 de septiembre, indicando que la falla proviene de una validación incorrecta de entrada, un problema crítico que permite a los atacantes tomar el control de sesiones de usuario sin interacción alguna del cliente.

Las versiones afectadas incluyen:

• Adobe Commerce 2.4.9-alpha2
• Adobe Commerce 2.4.8-p2
• Adobe Commerce 2.4.7-p7
• Adobe Commerce 2.4.6-p12
• Adobe Commerce 2.4.5-p14
• Adobe Commerce 2.4.4-p15 y versiones anteriores

Un atacante que aproveche exitosamente esta vulnerabilidad puede secuestrar sesiones activas de cuentas de clientes, accediendo a información confidencial, modificando pedidos o incluso tomando control total del panel de administración. Según Adobe, la explotación se realiza principalmente a través de la API REST de Commerce, lo que la convierte en un vector de ataque especialmente peligroso.

Sansec confirma la explotación activa en la naturaleza

Seis semanas después de que Adobe lanzara el parche de emergencia, Sansec ha confirmado la explotación activa en entornos reales.

Citar"Sansec Shield detectó y bloqueó los primeros ataques del mundo real hoy, lo cual es una mala noticia para las miles de tiendas que permanecen sin parches", alertaron los investigadores.

Durante las últimas 24 horas, Sansec reportó más de 250 intentos de explotación dirigidos a múltiples tiendas en línea. Los ataques se originaron desde cinco direcciones IP principales:

• 34.227.25.4
• 44.212.43.34
• 54.205.171.35
• 155.117.84.134
• 159.89.12.166

Los atacantes están utilizando webshells PHP y sondas phpinfo para recopilar información del sistema y verificar configuraciones vulnerables. Estas herramientas permiten al atacante comprobar si el entorno utiliza almacenamiento de sesión en el sistema de archivos, una configuración predeterminada en la mayoría de las instalaciones de Magento, y el principal punto débil que facilita la explotación de SessionReaper.

Incremento en los intentos tras la publicación del análisis técnico

A esta situación se suma un nuevo factor de riesgo: el análisis técnico detallado publicado por los investigadores de Searchlight Cyber, que describe con precisión cómo podría explotarse CVE-2025-54236. Este informe, aunque con fines académicos y de concientización, puede facilitar a los cibercriminales la reproducción del exploit, acelerando el aumento de ataques en los próximos días.

Sansec advierte que la publicación de estos detalles podría incentivar a actores maliciosos a lanzar campañas automatizadas contra sitios vulnerables, especialmente aquellos que no han implementado las actualizaciones críticas de Adobe.

El 62% de las tiendas aún sigue sin parchear

Pese a la gravedad del fallo, el ritmo de actualización ha sido alarmantemente lento. Según los datos de Sansec, el 62% de las tiendas de Magento aún no ha instalado el parche de seguridad y continúa expuesta a los ataques de SessionReaper.
Diez días después del lanzamiento de la solución, solo uno de cada tres sitios había aplicado la actualización, y actualmente tres de cada cinco tiendas siguen siendo vulnerables.

Este retraso en la aplicación de parches deja a miles de empresas en riesgo de robo de información, suplantación de identidad de clientes y manipulación de pedidos, afectando tanto la reputación de las marcas como la confianza de los consumidores.

Recomendaciones para proteger las tiendas Adobe Commerce

Ante la explotación activa de CVE-2025-54236, Adobe y Sansec recomiendan a los administradores de tiendas en línea tomar medidas inmediatas para mitigar el riesgo:

• Aplicar de inmediato el parche de seguridad oficial de Adobe para las versiones afectadas.
• Revisar la configuración del almacenamiento de sesión, moviéndolo fuera del sistema de archivos local hacia una base de datos o Redis.
• Monitorear logs del servidor en busca de conexiones sospechosas desde las IP identificadas.
• Implementar una solución de seguridad avanzada, como Sansec Shield o un WAF (Web Application Firewall) con reglas específicas para Adobe Commerce.
• Auditar los permisos de usuario y las sesiones activas, cerrando todas las que no sean reconocidas.

La rápida acción es esencial: cada hora sin parche aumenta el riesgo de que un atacante automatizado tome control del sistema y robe datos críticos.

En fin...

La vulnerabilidad SessionReaper (CVE-2025-54236) marca un punto crítico en la seguridad del comercio electrónico basado en Adobe Commerce. Su capacidad para permitir el secuestro de sesiones sin interacción del usuario y el hecho de que la mayoría de las tiendas sigan vulnerables la convierten en una amenaza real y urgente.
Las organizaciones deben actuar con rapidez, instalando los parches, reforzando la configuración del servidor y monitoreando constantemente la actividad sospechosa, para evitar ser víctimas del creciente número de ataques que ya están ocurriendo en la naturaleza.

Fuente: https://www.bleepingcomputer.com/