Хакеры используют критическую уязвимость SessionReaper в Adobe Magento

Хакеры активно используют критическую уязвимость SessionReaper (CVE-2025-54236) в платформах Adobe Commerce (ранее Magento). Зафиксированы сотни попыток взлома.

Эту активность обнаружила компания Sansec, специализирующаяся на безопасности электронной коммерции. Её исследователи ранее назвали SessionReaper одной из самых серьёзных уязвимостей в истории продукта.

Компания Adobe предупредила о CVE-2025-54236 (https://nvd.nist.gov/vuln/detail/CVE-2025-54236) 8 сентября, сообщив, что это уязвимость, связанная с некорректной проверкой входных данных, которая затрагивает версии Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 (и более ранние).

Злоумышленник, успешно воспользовавшийся уязвимостью, может получить контроль над сеансами работы с аккаунтом без какого-либо взаимодействия с пользователем.

«Потенциальный злоумышленник может получить доступ к учётным записям клиентов в Adobe Commerce через Commerce REST API» поясняет Adobe (https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27397).

Ранее компания Sansec заявила, что успешная эксплуатация уязвимости, скорее всего, зависит от хранения данных сеанса в файловой системе, что является настройкой по умолчанию для большинства магазинов, и что утечка патча от поставщика может дать представление о том, как можно использовать эту уязвимость.

Примерно через шесть недель после того, как стало доступно экстренное обновление для SessionReaper, компания Sansec подтвердила, что уязвимость активно используется злоумышленниками.

«Спустя шесть недель после экстренного обновления Adobe для SessionReaper (CVE-2025-54236) уязвимость стала активно использоваться», — читаем в бюллетене Sansec (https://sansec.io/research/sessionreaper-exploitation).

«Sansec Shield сегодня обнаружил и заблокировал первые реальные атаки, что является плохой новостью для тысяч магазинов, которые до сих пор не обновили свои системы», — заявили исследователи.

Только сегодня компания Sansec заблокировала более 250 попыток использования SessionReaper в отношении нескольких магазинов. Большинство атак было совершено с пяти IP-адресов.

• 34.227.25.4
• 44.212.43.34
• 54.205.171.35
• 155.117.84.134
• 159.89.12.166

До сих пор атаки включали в себя использование PHP-вебшеллов или phpinfo-зондов, которые проверяют настройки конфигурации и ищут в системе предопределённые переменные.

Также сегодня исследователи из Searchlight Cyber опубликовали подробный технический анализ уязвимости CVE-2025-54236 (https://slcyber.io/assetnote-security-research-center/why-nested-deserialization-is-still-harmful-magento-rce-cve-2025-54236/), которая может привести к увеличению количества попыток эксплуатации.

По данным Sansec, 62% интернет-магазинов на Magento до сих пор не установили обновление безопасности от Adobe и остаются уязвимыми для атак SessionReaper.

Исследователи отмечают, что через десять дней после выхода исправления установка патчей была настолько медленной, что обновления установили только на каждом третьем сайте. В настоящее время уязвимы 3 из 5 магазинов.

Администраторам веб-сайтов настоятельно рекомендуется как можно скорее установить исправление или воспользоваться рекомендованными Adobe мерами по снижению рисков.

Редактор: AndreyEx