Când vorbim despre platformele de comerț online, ultimele luni au readus în atenție vechi probleme legate de vulnerabilitățile software; acum Adobe semnalează o problemă serioasă la Adobe Commerce și Magento Open Source, identificată drept CVE-2025-54236 și denumită de cercetători SessionReaper. Vulnerabilitatea afectează API-ul REST al Commerce și ar putea permite preluarea conturilor clienților fără autentificare, motiv pentru care comunitatea de securitate este în alertă.
Adobe a lansat un patch pentru această problemă, precizând că actualizarea remediază un defect critic care, exploatat, ar putea ocoli mecanismele de protecție. Notificarea inițială către anumiți clienți Adobe Commerce a fost trimisă pe 4 septembrie, iar patch-ul de urgență a fost programat pentru 9 septembrie 2025. Pentru utilizatorii Adobe Commerce găzduit în cloud, Adobe a implementat deja o regulă WAF ca măsură temporară. Compania afirmă că, până în prezent, nu are dovezi privind exploatări active în mediul real.
Cercetătorii de la Sansec, care au botezat vulnerabilitatea SessionReaper, susțin că exploitul pare să se bazeze pe stocarea datelor de sesiune pe sistemul de fișiere, o setare implicită folosită de majoritatea magazinelor. Din păcate, un hotfix inițial pentru CVE-2025-54236 a fost scurs săptămâna trecută, ceea ce poate oferi atacatorilor un avantaj în dezvoltarea unor exploituri automate. Având în vedere natura problemei, Sansec anticipează automatizarea exploatărilor și atacuri la scară largă, ceea ce crește riscul pentru magazinele online neactualizate.
Administratorii și proprietarii de magazine online sunt rugați să testeze și să aplice patch-ul imediat. Fixul este disponibil pentru descărcare ca arhivă ZIP, dar atenție: cercetătorii avertizează că remedierea dezactivează o funcționalitate internă Magento, lucru ce poate provoca disfuncționalități în cod personalizat sau în integrări externe. Pentru a facilita tranziția, Adobe a actualizat documentația privind injecția parametrilor în constructorul REST API al Adobe Commerce.
Sansec plasează această problemă alături de alte vulnerabilități severe din istoria Magento, precum CosmicSting, TrojanOrder, Ambionics SQLi și Shoplift. Anterior, defecte similare au fost folosite pentru falsificarea sesiunilor, escaladare de privilegii, acces la servicii interne și chiar execuție de cod. Echipa Sansec a reprodus exploitul SessionReaper, dar a decis să nu publice codul sau detalii tehnice, menționând doar că vulnerabilitatea urmează un tipar cunoscut din atacul CosmicSting de anul trecut.
Mesajul pentru operatorii de magazine online este clar: aplicați hotfix-ul cât mai curând; Adobe avertizează că, fără intervenție rapidă, victimele rămân expuse, iar capacitatea Adobe de a remedia ulterior problema va fi redusă. Practic, e o cursă contra cronometru: patch disponibil, riscuri reale și posibile incompatibilități cu soluții personalizate care trebuie evaluate înainte de implementarea în producție.
Actualizarea implică atât aspecte tehnice, cât și gestionarea riscului: verificarea setărilor de stocare a sesiunilor, testarea integrărilor personalizate și monitorizarea traficului către API-urile REST. Magazinele care folosesc soluții terțe sau module custom trebuie să valideze compatibilitatea cu noua versiune și, dacă e necesar, să coordoneze remedierile. Și da, scurgerea unui hotfix înainte de lansarea oficială e problematică; e ca și cum ai oferi rețeta unui atacator înainte de a securiza intrarea.
CVE-2025-54236 apare într-un context mai larg: vulnerabilitățile critice din platformele e-commerce pot afecta direct conturile clienților și, implicit, reputația comercianților. Denumiri precum SessionReaper, CosmicSting sau TrojanOrder au intrat în vocabularul securității web, ilustrând că arhitectura implicită a unor platforme poate deveni o suprafață de atac dacă nu e revizuită proactiv. Adobe a luat măsuri pentru utilizatorii cloud, dar pentru mediile self-hosted responsabilitatea aplicării patch-urilor revine administratorilor.
Adobe afirmă că nu a detectat exploatări active, iar Sansec confirmă lipsa probelor privind atacuri în libertate, dar scurgerea hotfix-ului menține riscul. Administratorilor de site-uri pe Adobe Commerce sau Magento Open Source li se recomandă ferm: testați și aplicați remediul, evaluați impactul asupra codului personalizat și monitorizați semnele de activitate anormală legate de conturi și sesiuni. Măsurile preventive, actualizările și bunele practici de securitate reduc efectele unor astfel de vulnerabilități.
SessionReaper face parte acum dintr-un peisaj mai larg de amenințări istorice la adresa Magento; comparațiile Sansec cu CosmicSting sugerează că tehnicile folosite nu sunt complet noi, dar pot fi eficiente dacă nu sunt contracarate prompt. Dezvoltatorii cu implementări atipice sau care se bazează pe funcționalități interne ar trebui să pregătească teste de regresie și planuri de rollback înainte de aplicarea hotfix-ului.
CVE-2025-54236 afectează în mod concret REST API și stocarea sesiunilor pe sistemul de fișiere, iar patch-ul publicat pe 9 septembrie trebuie aplicat urgent. Adobe a oferit măsuri temporare pentru utilizatorii cloud și a actualizat documentația tehnică, dar responsabilitatea finală pentru mediile self-hosted rămâne a administratorilor. Este momentul ca magazinele să trateze securitatea ca pe o componentă esențială a operațiunilor zilnice, nu ca pe o formalitate administrativă.
Adobe menționează numele vulnerabilității (CVE-2025-54236) și data planificată pentru patch (9 septembrie 2025). Sansec a reprodus exploitul, dar nu a publicat codul. Hotfix-ul inițial a fost scurs, iar exploatări automate la scară largă sunt de așteptat. Pașii necesari: testare, aplicare patch, verificare compatibilități cu codul personalizat și monitorizare sporită a activităților API.
Adobe Commerce în cloud beneficiază deja de o regulă WAF, iar documentația REST API a fost actualizată. Vulnerabilitatea amintește de atacuri anterioare: CosmicSting, TrojanOrder, Ambionics SQLi, Shoplift. Administratorii trebuie să acționeze rapid pentru a limita expunerea.
Numele vulnerabilității, CVE-2025-54236, apare în notificările Adobe și în analiza Sansec; data-cheie este 9 septembrie 2025, când a fost publicat patch-ul. Ai un magazin pe Magento sau Adobe Commerce? Ce pași practici vei urma pentru a verifica compatibilitatea codului personalizat înainte de a aplica hotfix-ul?
aha, iar patch? bine, dar tot au scăpat chestii, ms.