Adobe corrige falha crítica do SessionReaper na plataforma de comércio eletrônico Magento – Against Invaders – Notícias de CyberSecurity para humanos.

Relatório Picus Blue 2025

A Adobe está alertando sobre uma vulnerabilidade crítica (CVE-2025-54236) em suas plataformas Commerce e Magento Open Source que os pesquisadores chamam de SessionReaper e descrevem como uma das falhas “mais graves” da história do produto.

Hoje, a empresa de software lançou um patch para o problema de segurança que pode ser explorado sem autenticação para assumir o controle das contas dos clientes por meio doAPI REST do comércio.

De acordo com a empresa de segurança de comércio eletrônico Sansec, a Adobe notificou “clientes selecionados do Commerce” em 4 de setembro sobre uma correção de emergência planejada para 9 de setembro.

“A Adobe está planejando lançar uma atualização de segurança para Adobe Commerce e Magento Open Source na terça-feira, 9 de setembro de 2025”, diz o aviso.

“Esta atualização resolve uma vulnerabilidade crítica. A exploração bem-sucedida pode levar ao desvio do recurso de segurança.”

Os clientes que usam o Adobe Commerce on Cloud já estão protegidos por uma regra de firewall de aplicativo da Web (WAF) implantada pela Adobe como uma medida intermediária.

Aviso da Adobe aos clientes do MagentoBoletim de segurança de que não tem conhecimento de nenhuma atividade de exploração na natureza. Assessoria da Sansec também observa que os pesquisadores não viram nenhuma exploração ativa do SessionReaper.

No entanto, Sansec diz que um hotfix inicial para CVE-2025-54236 vazou na semana passada, o que pode dar aos agentes de ameaças uma vantagem potencial na criação de um exploit.

De acordo com os pesquisadores, a exploração bem-sucedida “parece” depender do armazenamento de dados da sessão no sistema de arquivos, uma configuração padrão que a maioria das lojas usa.

É altamente recomendável que os administradores testem e implantem o Patch disponível(download direto, arquivo ZIP) imediatamente. Os pesquisadores alertam que a correção desativa a funcionalidade interna do Magento que pode levar a alguma quebra de código personalizado ou externo.

Para o efeito, A Adobe atualizou sua documentação para alterações na injeção de parâmetro do construtor da API REST do Adobe Commerce.

“Por favor, aplique o hotfix o mais rápido possível. Se você não fizer isso, ficará vulnerável a esse problema de segurança e a Adobe terá meios limitados para ajudar a corrigir” – Adobe

Os pesquisadores da Sansec esperam que o CVE-2025-54236 seja abusado por meio da automação, em escala. Eles observam que a vulnerabilidade está entre as vulnerabilidades mais graves do Magento na história da plataforma, ao lado de Picada Cósmica, TrojanOrder, Ambionics SQLi e Roubar.

Problemas semelhantes no passado foram aproveitados para forjamento de sessão, escalonamento de privilégios, acesso a serviços internos e execução de código.

A empresa de segurança conseguiu reproduzir o exploit SessionReaper, mas não divulgou o código ou detalhes técnicos, dizendo apenas que “a vulnerabilidade segue um padrão familiar do ano passadoPicada Cósmicaataque.”


Relatório Picus Blue 2025

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.