Adobe издаде спешна актуализация за критична уязвимост (CVE-2025-54236) в платформите Adobe Commerce и Magento Open Source, която изследователите определят като една от най-тежките в историята на продукта.

Уязвимостта, наречена SessionReaper, може да бъде експлоатирана без автентикация чрез Commerce REST API, позволявайки на атакуващите да поемат контрол над клиентски акаунти. Проблемът засяга конфигурации, при които сесиите се съхраняват във файловата система – настройка по подразбиране при повечето онлайн магазини.

Adobe уведоми избрани клиенти на Commerce още на 4 септември за предстоящата спешна актуализация, която бе пусната на 9 септември 2025 г. Междувременно за потребителите на Adobe Commerce в облака бе активирано защитно правило във Web Application Firewall (WAF) като временна мярка.

Компанията твърди, че до момента не е засечена активна експлоатация на уязвимостта. Въпреки това, според фирмата за киберсигурност Sansec, изтекъл хoтфикс миналата седмица може да даде преднина на киберпрестъпници в разработката на експлоити.

Администраторите са силно препоръчани да тестват и внедрят наличната актуализация незабавно, като Adobe подчертава, че при липса на обновяване компанията ще има ограничени възможности за съдействие при евентуални атаки. Важно е да се отбележи, че кръпката деактивира определена вътрешна функционалност на Magento, което може да доведе до несъвместимост с персонализиран или външен код.

Sansec предупреждава, че CVE-2025-54236 вероятно ще бъде използвана масово и автоматизирано, подобно на предишни атаки като CosmicSting, TrojanOrder и Shoplift, които вече са оставили трайни следи в историята на Magento. Потенциалните последствия включват фалшифициране на сесии, ескалация на привилегии, достъп до вътрешни услуги и дори изпълнение на зловреден код.