Adobe parcheó la vulnerabilidad, pero el 60 % de los administradores no la aplicó; ahora los hackers secuestran sus tiendas en línea
¿Qué es SessionReaper y por qué esta vulnerabilidad pone en peligro a tu empresa?
Los piratas informáticos empezaron a explotar activamente la vulnerabilidad crítica en las plataformas Adobe Commerce y Magento Open Source, a pesar de que el problema fue oficialmente solucionado el mes pasado. En las últimas 24 horas se han registrado más de 250 intentos de ataque contra tiendas en línea que usan estas soluciones, lo que indica el inicio de una campaña masiva para explotar la brecha recién descubierta. La mayor amenaza proviene de los ataques en los que, a través de la API, se crean sesiones de usuario falsas con el objetivo de tomar el control total de las cuentas de los compradores.
La vulnerabilidad se rastrea como CVE-2025-54236 y recibió una puntuación de severidad alta — 9.1 en la escala CVSS. El problema está relacionado con la validación incorrecta de la entrada de usuario en la interfaz REST API de Commerce, lo que permite a un atacante ejecutar código de forma remota. Los expertos denominaron a la vulnerabilidad SessionReaper. Fue descubierta y divulgada por un autor con el seudónimo Blaklis, tras lo cual la empresa Adobe publicó la actualización correspondiente. Sin embargo, seis semanas después de que se hiciera pública la información sobre el fallo, más del 60% de todas las instalaciones de Magento siguen sin parchear, lo que las convierte en objetivos fáciles para los atacantes.
Según el informe de la empresa Sansec, la actividad maliciosa está relacionada con una serie de direcciones IP desde las cuales los atacantes suben web shells en PHP a través del endpoint «/customer/address_file/upload», enmascarando las acciones como una sesión legítima de cliente. En algunos casos también se registran llamadas a phpinfo para recopilar información sobre la configuración del entorno de ejecución. El objetivo de estas acciones es asegurar un acceso persistente al sistema y ampliar el vector de ataque mediante la inyección de código arbitrario.
Paralelamente, investigadores de Searchlight Cyber publicaron un análisis técnico de CVE-2025-54236. En su análisis lo describieron como una compleja vulnerabilidad de deserialización anidada que permite la ejecución de comandos arbitrarios en un servidor remoto. Este es ya el segundo caso en los últimos dos años en que las plataformas Adobe Commerce y Magento sufren vulnerabilidades críticas de este tipo. En el verano de 2024 se explotó ampliamente otro fallo, denominado CosmicSting (CVE-2024-34102), con una puntuación de severidad aún mayor — 9.8.
A medida que los exploits y los detalles técnicos siguen propagándose en fuentes abiertas, los especialistas instan encarecidamente a los administradores de sitios a actualizar sus sistemas cuanto antes. La demora en este caso crea condiciones favorables para una ola masiva de compromisos en el contexto de la actividad ya activa de los atacantes.