Adobe ha lanzado una actualización urgente para corregir una vulnerabilidad crítica, CVE-2025-54236, que afecta a Adobe Commerce y Magento Open Source. Apodada “SessionReaper”, esta falla permite a un atacante tomar el control de las cuentas de los clientes sin autenticación, al manipular los datos de sesión a través de la API REST. El riesgo es particularmente alto para las tiendas que utilizan la configuración predeterminada de Magento, que almacena los datos de sesión en el sistema de archivos del servidor.
¿Cómo funciona la vulnerabilidad “SessionReaper”?
La vulnerabilidad permite a un atacante robar o reasignar la identidad de un cliente legítimo. Al explotar la API REST de la plataforma, un atacante puede acceder a la cuenta de un usuario sin conocer su contraseña, lo que le da control total sobre su información y sus datos.
Esta vulnerabilidad es especialmente grave porque puede ser explotada de forma automatizada, poniendo en riesgo a miles de tiendas en línea a gran escala.
El riesgo de la “hotfix” filtrada
Aunque Adobe lanzó un parche de emergencia el 9 de septiembre de 2025, una “hotfix” no oficial fue filtrada en línea. Esto aumenta la preocupación de que los ciberdelincuentes puedan desarrollar exploits antes de que todas las tiendas puedan aplicar el parche oficial.
Si bien Adobe no tiene conocimiento de que la vulnerabilidad esté siendo explotada activamente, la combinación de una falla crítica que no requiere autenticación y la existencia de información sobre la solución eleva significativamente el riesgo.
recomendaciones
- Aplica el parche de Adobe de inmediato: Esta es la medida más crítica. Los administradores deben actualizar sus plataformas Adobe Commerce y Magento Open Source lo antes posible.
- Monitorea tus registros: Se aconseja a los administradores que revisen sus sistemas en busca de actividad sospechosa, especialmente en la API REST, para detectar posibles intentos de ataque.
- Refuerza la seguridad en capas: No dependas únicamente del parche. Asegúrate de que tus firewalls de aplicaciones web (WAF) y sistemas de detección de intrusiones (IDS) estén configurados para identificar y bloquear solicitudes maliciosas dirigidas a tu API.
