В платформах Adobe Commerce и Magento Open Source обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54236 и неофициальное название SessionReaper. С оценкой 9.1 из 10.0 по шкале CVSS, эта уязвимость позволяет злоумышленникам получать полный контроль над учетными записями клиентов. Проблема вызвана некорректной проверкой входных данных (Improper Input Validation) и эксплуатируется через Commerce REST API.
Компания Adobe выпустила официальное уведомление, в котором заявила, что «не осведомлена о каких-либо эксплойтах в дикой природе» на момент публикации. Несмотря на это, всем пользователям затронутых продуктов настоятельно рекомендуется немедленно применить исправления из-за высокой степени риска, связанного с уязвимостью.
Нидерландская компания по безопасности в сфере электронной коммерции Sansec назвала SessionReaper одной из самых серьезных уязвимостей в истории Magento. Эксперты ставят ее в один ряд с такими известными инцидентами, как Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) и CosmicSting (2024), подчеркивая ее потенциально разрушительное воздействие на бизнес.
Технически атака представляет собой комбинацию «вредоносной сессии с вложенной ошибкой десериализации в REST API Magento». Один из векторов эксплуатации требует, чтобы на сервере использовалось хранилище сессий на основе файлов. Однако специалисты Sansec предупреждают, что владельцы сайтов, использующие Redis или сессии в базе данных, также должны немедленно принять меры, поскольку существуют множественные методы злоупотребления.
Adobe выпустила экстренное исправление (hotfix) для устранения проблемы. Для клиентов, использующих инфраструктуру Adobe Commerce on Cloud, были развернуты защитные правила для межсетевого экрана веб-приложений (WAF), обеспечивающие дополнительный уровень защиты от эксплуатации данной уязвимости.
Уязвимости CVE-2025-54236 подвержены следующие версии продуктов Adobe Commerce и Magento Open Source: 4.9-alpha2 и более ранние, 2.4.8-p2 и более ранние, 2.4.7-p7 и более ранние, 2.4.6-p12 и более ранние, 2.4.5-p14 и более ранние, а также 2.4.4-p15 и более ранние.
Проблема также затрагивает компонент Adobe Commerce B2B в версиях 1.5.3-alpha2 и ранее, 1.5.2-p2 и ранее, 1.4.2-p7 и ранее, 1.3.4-p14 и ранее, а также 1.3.3-p15 и ранее. Дополнительно уязвим модуль Custom Attributes Serializable в версиях с 0.1.0 по 0.4.0.
Одновременно с этим Adobe устранила отдельную критическую уязвимость в Adobe ColdFusion, идентифицированную как CVE-2025-54261. Данная проблема типа Path Traversal получила оценку 9.0 по шкале CVSS и может привести к произвольной записи файлов в файловой системе сервера.
Уязвимость CVE-2025-54261 затрагивает все платформы, на которых работают следующие версии Adobe ColdFusion: ColdFusion 2021 (Update 21 и ранее), ColdFusion 2023 (Update 15 и ранее) и ColdFusion 2025 (Update 3 и ранее). Пользователям этих продуктов также необходимо срочно установить выпущенные обновления.
Изображение носит иллюстративный характер
Компания Adobe выпустила официальное уведомление, в котором заявила, что «не осведомлена о каких-либо эксплойтах в дикой природе» на момент публикации. Несмотря на это, всем пользователям затронутых продуктов настоятельно рекомендуется немедленно применить исправления из-за высокой степени риска, связанного с уязвимостью.
Нидерландская компания по безопасности в сфере электронной коммерции Sansec назвала SessionReaper одной из самых серьезных уязвимостей в истории Magento. Эксперты ставят ее в один ряд с такими известными инцидентами, как Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) и CosmicSting (2024), подчеркивая ее потенциально разрушительное воздействие на бизнес.
Технически атака представляет собой комбинацию «вредоносной сессии с вложенной ошибкой десериализации в REST API Magento». Один из векторов эксплуатации требует, чтобы на сервере использовалось хранилище сессий на основе файлов. Однако специалисты Sansec предупреждают, что владельцы сайтов, использующие Redis или сессии в базе данных, также должны немедленно принять меры, поскольку существуют множественные методы злоупотребления.
Adobe выпустила экстренное исправление (hotfix) для устранения проблемы. Для клиентов, использующих инфраструктуру Adobe Commerce on Cloud, были развернуты защитные правила для межсетевого экрана веб-приложений (WAF), обеспечивающие дополнительный уровень защиты от эксплуатации данной уязвимости.
Уязвимости CVE-2025-54236 подвержены следующие версии продуктов Adobe Commerce и Magento Open Source: 4.9-alpha2 и более ранние, 2.4.8-p2 и более ранние, 2.4.7-p7 и более ранние, 2.4.6-p12 и более ранние, 2.4.5-p14 и более ранние, а также 2.4.4-p15 и более ранние.
Проблема также затрагивает компонент Adobe Commerce B2B в версиях 1.5.3-alpha2 и ранее, 1.5.2-p2 и ранее, 1.4.2-p7 и ранее, 1.3.4-p14 и ранее, а также 1.3.3-p15 и ранее. Дополнительно уязвим модуль Custom Attributes Serializable в версиях с 0.1.0 по 0.4.0.
Одновременно с этим Adobe устранила отдельную критическую уязвимость в Adobe ColdFusion, идентифицированную как CVE-2025-54261. Данная проблема типа Path Traversal получила оценку 9.0 по шкале CVSS и может привести к произвольной записи файлов в файловой системе сервера.
Уязвимость CVE-2025-54261 затрагивает все платформы, на которых работают следующие версии Adobe ColdFusion: ColdFusion 2021 (Update 21 и ранее), ColdFusion 2023 (Update 15 и ранее) и ColdFusion 2025 (Update 3 и ранее). Пользователям этих продуктов также необходимо срочно установить выпущенные обновления.
