Una nuova vulnerabilità critica, identificata come CVE-2025-54236 e soprannominata SessionReaper, è stata scoperta nelle piattaforme Adobe Commerce e Magento Open Source. Si tratta di un difetto di validazione degli input che consente a potenziali aggressori di prendere il controllo degli account clienti attraverso le API REST di Adobe Commerce. Il punteggio CVSS attribuito è 9.1 su 10, a conferma della gravità della minaccia.

La vulnerabilità interessa numerose versioni dei prodotti Adobe Commerce, tra cui tutte le release fino alla 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14 e 2.4.4-p15. Anche Adobe Commerce B2B e Magento Open Source nelle versioni corrispondenti risultano esposti. Ulteriore attenzione va posta sul modulo Custom Attributes Serializable dalla versione 0.1.0 alla 0.4.0.

Adobe ha rilasciato rapidamente una patch correttiva e ha rafforzato la sicurezza implementando regole specifiche nel web application firewall (WAF) per proteggere le installazioni cloud e prevenire tentativi di sfruttamento. L’azienda non ha segnalato exploit attivi al momento, ma raccomanda l’aggiornamento immediato di tutte le versioni vulnerabili.

Altri dettagli tecnici e rischi associati

Secondo quanto riportato da esperti di sicurezza, SessionReaper è paragonabile ad altre gravi vulnerabilità storiche di Magento come Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) e CosmicSting (2024). Gli esperti sottolineano che il bug sfrutta una combinazione di sessioni malevole e un difetto di deserializzazione annidato nelle API REST, e che la compromissione è particolarmente efficace se il sistema utilizza la session storage su file. Tuttavia, anche chi adotta Redis o database per la gestione delle sessioni deve intervenire con urgenza, poiché ci sono diversi vettori di attacco possibili.

Altre vulnerabilità risolte da Adobe

Oltre a SessionReaper, Adobe ha risolto un’altra vulnerabilità critica di path traversal in ColdFusion (CVE-2025-54261), con un CVSS di 9.0, che poteva consentire la scrittura arbitraria di file sul sistema. Anche in questo caso, l’aggiornamento immediato è fondamentale per ridurre il rischio di attacchi.

Si consiglia a tutti i merchant e agli amministratori di piattaforme Adobe Commerce e Magento Open Source di applicare senza indugi le patch disponibili e di mantenere costantemente monitorati gli ambienti, sfruttando anche le protezioni offerte dai servizi cloud e dai WAF, per scongiurare tentativi di compromissione dei dati dei clienti e delle infrastrutture di e-commerce.