Хакеры начали активную эксплуатацию новой критической уязвимости в платформах Adobe Commerce и Magento. За последние 24 часа было зафиксировано более 250 попыток атак на различные интернет-магазины. Компания Adobe официально обновила свое уведомление о безопасности, подтвердив факты использования уязвимости в реальных условиях.
Проблема получила идентификатор CVE-2025-54236 и неофициальное название SessionReaper. Уязвимости присвоен рейтинг критической опасности с оценкой 9.1 по шкале CVSS. Официально она классифицируется как «некорректная проверка входных данных», однако технически, по данным компании Searchlight Cyber, представляет собой «вложенную уязвимость десериализации».
Эксплуатация SessionReaper позволяет злоумышленникам получать полный контроль над учетными записями клиентов и, что более опасно, выполнять произвольный код на сервере (Remote Code Execution). Атаки осуществляются через программный интерфейс Commerce REST API, что делает уязвимыми множество стандартных конфигураций платформы.
Уязвимость была ответственно раскрыта исследователем безопасности под псевдонимом Blaklis. Компания Adobe выпустила исправление для этой проблемы в прошлом месяце, и с момента публичного раскрытия информации прошло уже шесть недель.
Несмотря на наличие патча, 62% всех магазинов, работающих на Magento, до сих пор не установили необходимое обновление безопасности. Ситуация усугубляется тем, что в открытом доступе появились рабочие эксплойты (Proof-of-Concept), что значительно снижает порог входа для проведения атак.
Клювую роль в обнаружении волны атак сыграла голландская компания по кибербезопасности Sansec, которая первой сообщила о массовых попытках взлома. Детальный технический анализ уязвимости был опубликован специалистами из Searchlight Cyber.
Механизм атаки заключается в загрузке PHP-бэкдоров на скомпрометированный сервер. Злоумышленники используют для этого эндпоинт
Зафиксированы IP-адреса, с которых проводятся атаки:
Это уже вторая серьезная уязвимость десериализации, обнаруженная в продуктах Adobe Commerce и Magento за последние два года. В июле 2024 года была выявлена уязвимость CosmicSting (CVE-2024-34102) с еще более высоким рейтингом опасности 9.8, которая также активно эксплуатировалась в глобальном масштабе. Администраторам сайтов необходимо срочно применить исправления для CVE-2025-54236.
Изображение носит иллюстративный характер
Проблема получила идентификатор CVE-2025-54236 и неофициальное название SessionReaper. Уязвимости присвоен рейтинг критической опасности с оценкой 9.1 по шкале CVSS. Официально она классифицируется как «некорректная проверка входных данных», однако технически, по данным компании Searchlight Cyber, представляет собой «вложенную уязвимость десериализации».
Эксплуатация SessionReaper позволяет злоумышленникам получать полный контроль над учетными записями клиентов и, что более опасно, выполнять произвольный код на сервере (Remote Code Execution). Атаки осуществляются через программный интерфейс Commerce REST API, что делает уязвимыми множество стандартных конфигураций платформы.
Уязвимость была ответственно раскрыта исследователем безопасности под псевдонимом Blaklis. Компания Adobe выпустила исправление для этой проблемы в прошлом месяце, и с момента публичного раскрытия информации прошло уже шесть недель.
Несмотря на наличие патча, 62% всех магазинов, работающих на Magento, до сих пор не установили необходимое обновление безопасности. Ситуация усугубляется тем, что в открытом доступе появились рабочие эксплойты (Proof-of-Concept), что значительно снижает порог входа для проведения атак.
Клювую роль в обнаружении волны атак сыграла голландская компания по кибербезопасности Sansec, которая первой сообщила о массовых попытках взлома. Детальный технический анализ уязвимости был опубликован специалистами из Searchlight Cyber.
Механизм атаки заключается в загрузке PHP-бэкдоров на скомпрометированный сервер. Злоумышленники используют для этого эндпоинт
'/customer/address_file/upload', маскируя вредоносную загрузку файла «под видом поддельной сессии». Зафиксированы IP-адреса, с которых проводятся атаки:
34.227.25[.]4 44.212.43[.]34 54.205.171[.]35 155.117.84[.]134 159.89.12[.]166 Это уже вторая серьезная уязвимость десериализации, обнаруженная в продуктах Adobe Commerce и Magento за последние два года. В июле 2024 года была выявлена уязвимость CosmicSting (CVE-2024-34102) с еще более высоким рейтингом опасности 9.8, которая также активно эксплуатировалась в глобальном масштабе. Администраторам сайтов необходимо срочно применить исправления для CVE-2025-54236.
