Adobe нарушила свой обычный график выпуска обновлений, чтобы устранить критическую уязвимость CVE-2025-54236 в Magento Commerce и открытой версии Magento. Уязвимость, получившая название SessionReaper, позволяет злоумышленникам обходить проверку входных данных в Magento Web API, что открывает возможности для автоматизированного захвата учетных записей, кражи данных и создания мошеннических заказов без необходимости использования действительных токенов сессии.
Детали уязвимости
Экстренное исправление будет выпущено во вторник, 9 сентября, в 14:00 по UTC - более чем за месяц до запланированного обновления 14 октября. Компания настоятельно рекомендует владельцам интернет-магазинов немедленно подготовиться к установке патча, чтобы предотвратить массовую эксплуатацию уязвимости. SessionReaper входит в число наиболее серьёзных уязвимостей Magento за всю историю, наравне с печально известными Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) и CosmicSting (2024). Каждый из этих эксплойтов в прошлом приводил к компрометации тысяч магазинов в течение нескольких часов после публичного раскрытия информации.
Внутренняя разработка экстренного исправления началась в Adobe 22 августа. 4 сентября уведомления были направлены клиентам коммерческой версии Adobe Commerce, однако пользователи открытой версии Magento не получили предварительного предупреждения, что вызвало недовольство в сообществе из-за отсутствия прозрачности. Администраторам Magento рекомендуется следить за обновлениями на странице безопасности Adobe и незамедлительно загрузить официальный патч сразу после его публикации. Инструкции и сам патч будут доступны в Центре безопасности Magento.
Владельцы магазинов, использующие Sansec Shield, уже защищены от автоматизированных атак через SessionReaper. Остальным необходимо уделить первостепенное внимание тестированию патча в тестовых средах и запланировать срочное развёртывание в production. В сети появилась неофициальная версия исправления - MCLOUD-14016 для CVE-2025-54236, вносящая изменения в vendor/magento/framework/Webapi/ServiceInputProcessor.php для принудительной строгой проверки типов параметров. Однако применение утекшей версии сопряжено с рисками и должно выполняться только после тщательного тестирования.
После выхода официального патча владельцам магазинов следует обеспечить валидацию в тестовой среде, развернуть обновление во всех окружениях в течение нескольких часов, аннулировать существующие сессионные cookie и запросить повторную аутентификацию пользователей, обновить API-ключи и учётные данные сервисных аккаунтов, а также мониторить логи на предмет подозрительных вызовов Web API. Рекомендуется также отслеживать актуальные индикаторы компрометации через специализированные ресурсы, такие как портал Sansec.
SessionReaper эксплуатирует уязвимость в обработчике входных данных Web API, где неотфильтрованные данные могут передаваться в бэкенд-конструкторы. Утекшая версия исправления добавляет проверку, разрешающую только простые скалярные типы или распознаваемые объекты данных API, игнорируя любые неожиданные типы параметров. До подтверждения официального релиза администраторам следует реализовать компенсирующие меры контроля, например использовать веб-прикладные файрволы со строгой проверкой JSON-схем для снижения риска эксплуатации.
Решение Adobe ускорить выпуск исправления вне обычного цикла подчёркивает критический характер уязвимости SessionReaper. Наиболее уязвимыми являются магазины, работающие на Magento в условиях shared- или unmanaged-хостинга, поскольку автоматизированные инструменты атак начнут сканирование незащищённых конечных точек сразу после публикации данных об уязвимости. История быстрой эксплуатации уязвимостей в экосистеме Magento, наиболее ярко продемонстрированная недавней массовой кражей данных кредитных карт через CosmicSting, показывает, что даже несколько часов задержки с установкой исправления могут привести к масштабным утечкам данных и финансовым потерям.
Сообществу Magento необходимо извлечь уроки из прошлых инцидентов: тщательное управление обновлениями, многоуровневая защита и своевременная коммуникация являются необходимыми условиями для защиты интернет-витрин. Беспрецедентное для Adobe решение прервать обычный цикл обновлений октября подчёркивает серьёзность угрозы SessionReaper. Владельцам магазинов следует действовать без промедления: установить экстренное обновление, усилить мониторинг и предотвратить автоматизированные атаки для обеспечения безопасности данных клиентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54236
- https://helpx.adobe.com/security/products/magento/apsb25-88.html
