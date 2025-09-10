Adobe сообщила о критическом баге (CVE-2025-54236), который застрагивает платформы Commerce и Magento. Исследователи назвали эту уязвимость SessionReaper и описывают ее как одну из самых серьезных за всю историю существования этих продуктов.

На этой неделе разработчики Adobe уже выпустили патч для проблемы, которая получила 9,1 балла по шкале CVSS. Отмечается, что уязвимость может эксплуатироваться без аутентификации для захвата контроля над аккаунтами клиентов через Commerce REST API.

По данным экспертов ИБ-компании Sansec, Adobe еще 4 сентября уведомила «избранных клиентов Commerce» о предстоящем исправлении, выход которого состоялся 9 сентября.

Клиенты, использующие Adobe Commerce on Cloud, уже защищены правилом WAF, развернутым Adobe в качестве промежуточной меры защиты.

Пока ни Adobe, ни специалистам Sansec не известно о случаях эксплуатации SessionReaper в реальных атаках. Однако в Sansec сообщают, что первоначальный хотфикс для CVE-2025-54236 утек в сеть еще на прошлой неделе, то есть у злоумышленников было больше времени для создания эксплоита.

По словам исследователей, успешная эксплуатация проблемы зависит от хранения данных сессий в файловой системе (это конфигурация по умолчанию, которая используется в большинстве случаев).

Администраторам настоятельно рекомендуется как можно скорее установить доступный патч. Однако специалисты предупреждают, что исправление отключает некоторые внутренние функции Magento, и это может привести к сбоям в работе кастомного и внешнего кода.

Эксперты Sansec ожидают, что CVE-2025-54236 будет использоваться в автоматизированных масштабных атаках. Они отмечают, что эта уязвимость входит в число самых серьезных уязвимостей Magento за всю историю существования платформы, наряду с CosmicSting, TrojanOrder, Ambionics SQLi и Shoplift.

В прошлом подобные проблемы использовались для подделки сеансов, повышения привилегий, доступа к внутренним службам и выполнения кода.