Неаутентифицированные злоумышленники активно эксплуатируют критическую уязвимость в платформах Adobe Commerce и Magento по всему миру. Уязвимость, получившая идентификатор CVE-2025-54236 и название SessionReaper, позволяет выполнять удаленный код и захватывать клиентские учетные записи на тысячах интернет-магазинов.
Детали уязвимости
Согласно данным исследователей кибербезопасности из Sansec, первые массовые атаки были зафиксированы 22 октября 2025 года - почти через два месяца после выпуска экстренного патча компанией Adobe. На момент обнаружения атак менее 40% затронутых магазинов установили защитные обновления. SessionReaper сочетает вредоносную сессию с ошибкой вложенной десериализации в REST API Magento, предоставляя злоумышленникам полный контроль над уязвимыми сайтами.
Эксплойты поступают через эндпоинт /customer/address_file/upload, где атакующие загружают PHP-бэкдоры, замаскированные под поддельные файлы сессий. Этот подход полностью обходит требования аутентификации, позволяя любому подключенному к интернету злоумышленнику компрометировать непропатченные системы без действительных учетных данных. Наибольшему риску подвергаются администраторы Magento, использующие файловое хранилище сессий, хотя организации, полагающиеся на Redis или базы данных, также не должны считать себя защищенными.
Adobe выпустила патч для SessionReaper 9 сентября в качестве внепланового экстренного обновления, нарушив обычный график выпуска исправлений. Однако внедрение патча шло тревожно медленно: к середине сентября менее чем каждый третий магазин Magento установил исправление. Эта задержка создала критическое окно возможностей для злоумышленников по разработке и развертыванию эксплойтов. Ситуация усугубилась, когда Adobe случайно опубликовала код патча на GitHub, что потенциально ускорило подготовку атакующих.
Дополнительную сложность создало то, что официальное описание уязвимости от Adobe изначально преуменьшало угрозу, описывая воздействие только как захват учетных записей и опуская упоминание о возможности выполнения удаленного кода - деталь, которую позже подтвердили исследователи безопасности. SessionReaper входит в число наиболее серьезных уязвимостей Magento за всю историю, присоединяясь к печально известным предшественникам, включая Shoplift (2015), SQL-инъекцию Ambionics (2019), TrojanOrder (2022) и CosmicSting (2024). Каждая из этих уязвимостей привела к компрометации тысяч магазинов в течение часов или дней после публичного раскрытия.
Организации, использующие непропатченные экземпляры Magento или Adobe Commerce, сталкиваются с неминуемой угрозой компрометации. Необходимые меры включают немедленное развертывание официального патча из репозитория Adobe и тщательное тестирование, поскольку исправление отключает внутреннюю функциональность Magento, которая может нарушить работу пользовательских расширений. Администраторам, которые не могут установить патч в течение 24 часов, следует активировать Web Application Firewall (WAF, межсетевой экран веб-приложений) для временной защиты - в настоящее время только Adobe Fastly и Sansec Shield блокируют эту конкретную атаку.
Для уже обновленных магазинов исследователи безопасности рекомендуют запустить сканеры вредоносного ПО для обнаружения компрометаций и выполнить ротацию криптографических ключей, чтобы предотвратить возможность неограниченного изменения блоков CMS злоумышленниками. При том что 62% магазинов остаются без исправлений, ландшафт угроз продолжает развиваться по мере того, как все больше организаций становятся жертвами автоматизированных кампаний эксплуатации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54236
- https://helpx.adobe.com/security/products/magento/apsb25-88.html
