Se ha identificado una vulnerabilidad crítica denominada SessionReaper (CVE-2025-54236) que afecta plataformas de comercio electrónico basadas en Adobe Commerce y Magento Open Source. Esta falla permite a un atacante remoto —sin necesidad de autenticación— tomar el control de cuentas de cliente y, en ciertas condiciones, lograr ejecución de código remoto. La empresa Adobe Inc. emitió un parche de emergencia (fuera de su ciclo habitual) para corregir esta vulnerabilidad tras su descubrimiento.
Versiones afectadas
Las versiones vulnerables incluyen, entre otras:
- Adobe Commerce: 2.4.4-p15 y anteriores, 2.4.5-p14 y anteriores, 2.4.6-p12 y anteriores, 2.4.7-p7 y anteriores, 2.4.8-p2 y anteriores, 2.4.9-alpha2 y anteriores.
- Magento Open Source: mismos rangos de versiones que Adobe indica para la edición abierta.
Riesgo e impacto
- La vulnerabilidad está clasificada con un puntaje CVSS de ~9.1, lo cual indica alto riesgo.
- Permite toma de sesiones de usuarios, lo que en un entorno de comercio puede dar acceso a datos de clientes, pedidos, detalles de pago, etc.
- En entornos con almacenamiento de sesiones en disco (file-based session storage), se observó posibilitad de ejecución remota de código.
- Las firmas de ataques ya fueron identificadas en investigación de la firma Sansec quienes indican que “ataques en masa” podrían iniciarse si los parches no se aplican rápidamente.
Informacion oculta
- Que incluso tiendas que usan cachés como Redis o base de datos para sesiones no están exentas: aunque el vector RCE completo se observa para “session storage en disco”, la toma de cuentas (ATO) es real incluso en otros modos.
- Que un análisis histórico lo compara con vulnerabilidades muy graves en Magento (por ejemplo, Shoplift 2015, CosmicSting 2024) lo que subraya su gravedad per se.
- Que el parche fue filtrado o “leaked” poco tiempo tras su publicación, lo que facilita que los atacantes lo analicen para generar exploits.
- Que la explotación del bug puede combinarse con módulos de terceros vulnerables o paneles de administración expuestos, haciendo el escenario más peligroso de lo que inicialmente parece.
Recomendaciones
- Aplicar parche lo antes posible
Actualiza tu instalación de Adobe Commerce o Magento Open Source a la versión corregida que incluye la solución para CVE-2025-54236. Verifica que el “hotfix” de Adobe (APSB25-88) se haya aplicado. - Revisar almacenamiento de sesiones
Si usas “session storage” en disco expuesto o poco protegido, considera migrar a Redis o base de datos, y asegúrate de que los permisos de archivo/archivo de sesión sean seguros. - Rotar sesiones activas y secretos
Después del parche, invalida las sesiones activas de clientes y admin, genera nuevas claves de sesión, revisa el fichero app/etc/env.php (o equivalente) para asegurar que no haya modificaciones maliciosas. - Monitorear actividad inusual
Vigila logs para accesos de cuentas no usuales, cambios en roles/privilegios, uso inusual de API REST, subida de archivos sospechosos (módulos, extensiones) en rutas de Magento. - Verificar extensiones de terceros
Mucho del riesgo adicional viene por extensiones no parcheadas o módulos de autenticación/SSO. Revisa todos los módulos instalados, verifica actualizaciones, deshabilita los que no uses. - Implementar WAF y controles adicionales
Si no puedes parchear inmediatamente, usa un Web Application Firewall (WAF) para filtrar peticiones al API REST de Magento, bloquear patrones sospechosos e inspeccionar tráfico entrante. - Plan de contingencia en caso de explotación
Si descubres actividad sospechosa: aisla el sitio comprometido, haz snapshot de logs, reinstalación limpia desde backup confiable, notifica a clientes o reguladores según corresponda, y considera auditoría forense de la tienda.
Conclusión
La vulnerabilidad SessionReaper representa una amenaza significativa para plataformas de comercio electrónico basadas en Magento/Adobe Commerce. El compromiso de una tienda puede no sólo derivar en robo de datos de clientes o manipulación de pedidos, sino también en persistencia maliciosa, extensiones comprometidas, y daños en la reputación de la marca. Dado que los atacantes ya están preparándose para explotar esta falla en masa, el momento de actuar es ahora: parche inmediato, validación de instalaciones, monitoreo continuo y rotación de sesiones/secretos.
