Código HTML do Conteúdo
Post: Adobe corrige falha crítica do SessionReaper na plataforma de comércio eletrônico Magento - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A Adobe está alertando sobre uma vulnerabilidade crítica (CVE-2025-54236) em suas plataformas Commerce e Magento Open Source que os pesquisadores chamam de SessionReaper e descrevem como uma das falhas “mais graves” da história do produto.</p>
<p>Hoje, a empresa de software lançou um patch para o problema de segurança que pode ser explorado sem autenticação para assumir o controle das contas dos clientes por meio doAPI REST do comércio.</p>
<p>De acordo com a empresa de segurança de comércio eletrônico Sansec, a Adobe notificou “clientes selecionados do Commerce” em 4 de setembro sobre uma correção de emergência planejada para 9 de setembro.</p>
<p>“A Adobe está planejando lançar uma atualização de segurança para Adobe Commerce e Magento Open Source na terça-feira, 9 de setembro de 2025”, diz o aviso.</p>
<p>“Esta atualização resolve uma vulnerabilidade crítica. A exploração bem-sucedida pode levar ao desvio do recurso de segurança.”</p>
<p>Os clientes que usam o Adobe Commerce on Cloud já estão protegidos por uma regra de firewall de aplicativo da Web (WAF) implantada pela Adobe como uma medida intermediária.</p>
<div>
<p><img decoding="async" alt="Aviso da Adobe aos clientes do Magento" height="544" src="https://datalake.azaeo.com/wp-content/uploads/2025/09/notice.jpg" width="482 /></div>
<p>Adobe says in the <a href=">Boletim de segurança de que não tem conhecimento de nenhuma atividade de exploração na natureza. <a href="https://sansec.io/research/sessionreaper" rel="nofollow noopener" target="_blank">Assessoria da Sansec</a> também observa que os pesquisadores não viram nenhuma exploração ativa do SessionReaper.</p>
<p>No entanto, Sansec diz que um hotfix inicial para CVE-2025-54236 vazou na semana passada, o que pode dar aos agentes de ameaças uma vantagem potencial na criação de um exploit.</p>
<p>De acordo com os pesquisadores, a exploração bem-sucedida “parece” depender do armazenamento de dados da sessão no sistema de arquivos, uma configuração padrão que a maioria das lojas usa.</p>
<p>É altamente recomendável que os administradores testem e implantem o <a href="https://repo.magento.com/patch/VULN-32437-2-4-X-patch.zip" rel="nofollow noopener" target="_blank">Patch disponível</a>(download direto, arquivo ZIP) imediatamente. Os pesquisadores alertam que a correção desativa a funcionalidade interna do Magento que pode levar a alguma quebra de código personalizado ou externo.</p>
<p>Para o efeito, <a href="https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27501" rel="nofollow noopener" target="_blank">A Adobe atualizou sua documentação</a> para alterações na injeção de parâmetro do construtor da API REST do Adobe Commerce.</p>
<p>“Por favor, aplique o hotfix o mais rápido possível. Se você não fizer isso, ficará vulnerável a esse problema de segurança e a Adobe terá meios limitados para ajudar a corrigir” – <a href="https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27397" rel="nofollow noopener" target="_blank">Adobe</a></p>
<p>Os pesquisadores da Sansec esperam que o CVE-2025-54236 seja abusado por meio da automação, em escala. Eles observam que a vulnerabilidade está entre as vulnerabilidades mais graves do Magento na história da plataforma, ao lado de <a href="https://www.bleepingcomputer.com/news/security/over-4-000-adobe-commerce-magento-shops-hacked-in-cosmicsting-attacks/" rel="nofollow noopener" target="_blank">Picada Cósmica</a>, <a href="https://www.bleepingcomputer.com/news/security/magento-stores-targeted-in-massive-surge-of-trojanorders-attacks/" rel="nofollow noopener" target="_blank">TrojanOrder</a>, Ambionics SQLi e <a href="https://news.softpedia.com/news/Critical-Magento-Vulnerability-Details-Disclosed-Exploited-in-the-Wild-479246.shtml" rel="nofollow noopener" target="_blank">Roubar</a>.</p>
<p>Problemas semelhantes no passado foram aproveitados para forjamento de sessão, escalonamento de privilégios, acesso a serviços internos e execução de código.</p>
<p>A empresa de segurança conseguiu reproduzir o exploit SessionReaper, mas não divulgou o código ou detalhes técnicos, dizendo apenas que “a vulnerabilidade segue um padrão familiar do ano passado<a href="https://sansec.io/research/cosmicsting" rel="nofollow noopener" target="_blank">Picada Cósmica</a>ataque.”</p>
<p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br />
</a>
</p>
</div>
</div></div>