10.09.2025
1 хв
551
У продуктах Adobe Commerce виявлено критичну вразливість CVE-2025-54236 (SessionReaper) із рейтингом CVSS 9.1, яка відкриває шлях до захоплення акаунтів клієнтів через REST API.
Adobe повідомила, що недолік пов’язаний із некоректною перевіркою вхідних даних. Хоча експлуатацій у дикій природі поки не зафіксовано, потенційний нападник може повністю перехопити контроль над обліковими записами користувачів.
Уразливість стосується Adobe Commerce (2.4.9-alpha2 та раніші), Adobe Commerce B2B (1.5.3-alpha2 та раніші), Magento Open Source (2.4.9-alpha2 та раніші), а також модуля Custom Attributes Serializable (0.1.0–0.4.0).
Компанія випустила гарячий патч і ввімкнула правила WAF для захисту середовищ у хмарній інфраструктурі.
Фахівці Sansec назвали SessionReaper однією з найсерйозніших уразливостей Magento за останні роки, поруч із Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) та CosmicSting (2024). Дослідники змогли відтворити спосіб експлуатації та припускають наявність кількох векторів атак. Проблема пов’язана з небезпечними сесіями й десеріалізацією в API, що у певних випадках може призвести навіть до віддаленого виконання коду.
Крім того, Adobe закрила ще одну критичну діру — CVE-2025-54261 у ColdFusion (оцінка 9.0), яка дозволяла виконувати довільний запис у файлову систему.
SessionReaper підтверджує, що вразливості у великих платформах електронної комерції залишаються привабливою ціллю для атакувальників. Adobe оперативно випустила виправлення, однак адміністратори й розробники мають негайно оновити свої інсталяції та перевірити налаштування, адже навіть ті, хто використовує Redis або бази даних для сесій, залишаються у зоні ризику.
