Han sufrido intentos de intrusión masiva, según alertan distintos informes de seguridad. El origen del problema es la explotación de una vulnerabilidad crítica recién publicada: la CVE‑2025‑54236, también conocida bajo el nombre de SessionReaper. The Hacker News+1

¿Qué permite esta vulnerabilidad?

La falla corresponde a una validación de entrada incorrecta (Improper Input Validation, CWE-20) en el componente de API REST de Adobe Commerce / Magento, que permite a un atacante sin autenticación tomar control de cuentas de clientes e incluso lograr ejecución remota de código bajo ciertas condiciones. helpnetsecurity.com+2sansec.io+2
Según el boletín oficial de Adobe Inc. (bulletin APSB25-88), este fallo tiene un puntaje CVSS 3.1: 9.1 (crítico) y está definido como “security feature bypass”. helpx.adobe.com+1

Cronología y estado actual

• El parche de emergencia fue liberado el 9 de septiembre de 2025 (APS B25-88) tras detectarse internamente el problema. sansec.io+1
• A pesar de ello, seis semanas después sólo aproximadamente el 38 % de las tiendas han aplicado la corrección, lo que significa que cerca del 62 % siguen vulnerables. sansec.io+1
• El 22 de octubre de 2025 se reportaron los primeros ataques a gran escala, con más de 250 intentos bloqueados por la empresa de seguridad Sansec BV en un solo día. sansec.io+1

¿Cómo están atacando?

Los métodos observados incluyen el envío de cargas útiles maliciosas que explotan la deserialización anidada del sistema de sesiones, y el uso del endpoint /customer/address_file/upload para desplegar web-shells (archivos PHP maliciosos) o sondear información a través de phpinfo. The Hacker News+2Cyber Security News+2
Algunas direcciones IP identificadas en la campaña de ataque incluyen:

• 34.227.25.4
• 44.212.43.34
• 54.205.171.35
• 155.117.84.134
• 159.89.12.166 The Hacker News+1

¿Por qué es tan grave?

• Porque no requiere credenciales para iniciarse (“unauthenticated”), lo que amplía enormemente su alcance. helpnetsecurity.com
• Porque se basa en una vulnerabilidad de deserialización anidada (“nested deserialization”), un tipo de fallo que ya ha provocado anteriores incidentes graves en Magento/Adobe Commerce (por ejemplo, CVE‑2024‑34102 “CosmicSting”). sansec.io+1
• Porque muchas tiendas siguen usando almacenamiento de sesiones basado en archivos (“file-based session storage”), lo que facilita la explotación. Aunque también se advierte que incluso quienes usan Redis u otro almacenamiento podrían no estar completamente a salvo. sansec.io+1

Recomendaciones urgentes

Para los administradores de tiendas en Magento/Open Source o Adobe Commerce, se aconseja hacer lo siguiente cuanto antes:

1. Aplicar el parche oficial o actualizar a la versión corregida inmediatamente. helpx.adobe.com+1
2. Verificar que el parche se ha implementado correctamente, y en caso de tener código o extensiones personalizadas, probar en entorno de staging antes de producción, ya que se puede romper funcionalidad. sansec.io
3. Si no es posible parchear de inmediato, habilitar una firewall de aplicación web (WAF) que bloquee este tipo de ataques como medida temporal. sansec.io+1
4. Revisar los sistemas en busca de posibles compromisos ya existentes: archivos PHP inesperados, accesos sospechosos al endpoint /customer/address_file/upload, solicitudes phpinfo, etc. Cambiar claves secretas, sesiones, etc. sansec.io

Conclusión

El fallo CVE-2025-54236 (SessionReaper) representa una amenaza crítica para miles de tiendas online que utilizan Magento y Adobe Commerce. Con una adopción lenta de los parches, los atacantes están aprovechando la ventana abierta para lanzar campañas automatizadas. La urgencia es máxima para los operadores de comercio electrónico.

Fuente: thehackernews[.]com