Adobe ha emitido una advertencia sobre una falla de seguridad crítica en sus plataformas Commerce y Magento Open Source, que podría permitir a los atacantes tomar control de cuentas de clientes. Esta vulnerabilidad, identificada como CVE-2025-54236 y apodada “SessionReaper”, posee una puntuación de 9.1 en la escala CVSS, lo que indica su alta severidad. Según Adobe, un posible atacante podría aprovechar esta falla a través de la API REST de Commerce.
Un problema del que son conscientes en Adobe
La falla se describe como un error de validación de entrada inapropiada, y aunque la empresa no ha confirmado la existencia de exploits en la naturaleza, expertos en seguridad como la firma Sansec han señalado que han podido reproducir al menos un método para explotar la vulnerabilidad. Se considera que “SessionReaper” es una de las vulnerabilidades más graves en la historia de Magento, comparable a incidentes previos como Shoplift en 2015 y CosmicSting en 2024.
Adobe ha respondido a esta amenaza lanzando un hotfix y reglas de firewall de aplicaciones web (WAF) con el fin de proteger a los comerciantes que utilizan Adobe Commerce, específicamente en la infraestructura Cloud. La recomendación para los comercios es actualizarse rápidamente, especialmente aquellos que usan almacenamiento de sesiones basado en archivos, aunque se aconseja a todos los comerciantes que utilicen sesiones Redis o de base de datos que tomen medidas inmediatas, dado que existen múltiples formas de abusar de la vulnerabilidad.
Además de esta vulnerabilidad, Adobe también ha lanzado correcciones para una falla crítica en ColdFusion, designada como CVE-2025-54261, que puede permitir escrituras arbitrarias en el sistema de archivos, con una puntuación CVSS de 9.0. Esta situación evidencia la importancia de mantener actualizados los sistemas y las aplicaciones, en un contexto donde la ciberseguridad se vuelve cada vez más crucial.
