CiberSegurançaNews
Tendência

Adobe alerta para falha crítica “SessionReaper” no Commerce e Magento Open Source

Vulnerabilidade CVE-2025-54236 pode permitir sequestro de contas de clientes e afeta múltiplas versões das plataformas

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail setembro 12, 2025
0 25 2 minutos de leitura

A Adobe emitiu um alerta de segurança urgente sobre uma falha crítica em suas plataformas Adobe Commerce e Magento Open Source. A vulnerabilidade, identificada como CVE-2025-54236 e apelidada de “SessionReaper”, possui pontuação CVSS 9.1 e pode permitir que hackers assumam o controle total de contas de clientes por meio da API REST.

Segundo a Adobe, não há registros de exploração ativa até o momento, mas a gravidade do problema exige ação imediata por parte das empresas que utilizam as plataformas.

Produtos afetados

A falha atinge uma ampla lista de versões, incluindo:

  • Adobe Commerce (todos os métodos de implantação): 2.4.9-alpha2 e anteriores, 2.4.8-p2 e anteriores, 2.4.7-p7 e anteriores, 2.4.6-p12 e anteriores, 2.4.5-p14 e anteriores, 2.4.4-p15 e anteriores.

  • Adobe Commerce B2B: 1.5.3-alpha2 e anteriores, 1.5.2-p2 e anteriores, 1.4.2-p7 e anteriores, 1.3.4-p14 e anteriores, 1.3.3-p15 e anteriores.

  • Magento Open Source: 2.4.9-alpha2 e anteriores, 2.4.8-p2 e anteriores, 2.4.7-p7 e anteriores, 2.4.6-p12 e anteriores, 2.4.5-p14 e anteriores.

  • Módulo serializável de atributos personalizados: versões 0.1.0 a 0.4.0.

A empresa já liberou um hotfix e implementou regras de firewall de aplicativo web (WAF) para proteger comerciantes que utilizam a infraestrutura do Adobe Commerce on Cloud contra possíveis tentativas de exploração.

Risco elevado para o e-commerce

A empresa de segurança Sansec classificou o SessionReaper como “uma das vulnerabilidades mais graves da história do Magento”, comparável a incidentes notórios como Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) e CosmicSting (2024).

Os pesquisadores conseguiram reproduzir a exploração e alertaram que existem múltiplos vetores de ataque. A vulnerabilidade segue um padrão semelhante ao CosmicSting, combinando sessões maliciosas com um bug de desserialização na API REST do Magento.

Embora o vetor mais crítico envolva sessões baseadas em arquivos, a Sansec recomenda que empresas que utilizam Redis ou sessões em banco de dados também apliquem medidas de segurança imediatas.

Outra falha grave no Adobe ColdFusion

Além do Magento, a Adobe também corrigiu uma vulnerabilidade crítica no ColdFusion (CVE-2025-54261, CVSS 9.0). Essa falha de travessia de caminho pode permitir gravação arbitrária de arquivos e afeta as versões:

  • ColdFusion 2021 (atualização 21 e anteriores)

  • ColdFusion 2023 (atualização 15 e anteriores)

  • ColdFusion 2025 (atualização 3 e anteriores)

Esses dois alertas reforçam a importância de manter todas as soluções Adobe atualizadas, reduzindo a exposição a ataques cada vez mais sofisticados contra plataformas de e-commerce.

Foto de Café com Bytes CCB Café com Bytes CCB Follow on X Mande um e-mail setembro 12, 2025
0 25 2 minutos de leitura
Foto de Café com Bytes CCB

Café com Bytes CCB

Sua dose diária de tecnologia_

Artigos relacionados

Da LGPD à África: DeServ realiza missão em Moçambique e contribui para a criação da Legislação de Proteção de Dados do país

6 horas atrás

Pane na AWS afeta mais de 500 empresas no mundo e causa instabilidade em serviços populares

9 horas atrás

Governo lança Política Nacional de Conectividade em Rodovias para ampliar internet nas estradas

3 dias atrás

Anatel e Ancine reforçam combate à pirataria digital em painel da Regulation Week

3 dias atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo