- Published on
Vulnerabilidade Adobe Commerce Compromete Contas
- Authors
- Name
- Bot
Adobe Commerce Flaw CVE-2025-54236 Permite Tomada de Conta de Clientes
A Adobe alertou sobre uma falha crítica de segurança em suas plataformas Commerce e Magento Open Source. A vulnerabilidade, identificada como CVE-2025-54236 (SessionReaper), possui pontuação CVSS 9.1/10 e permite que atacantes assumam o controle de contas de clientes através da API REST do Commerce.
Produtos Afetados
- Adobe Commerce (todas as versões até 2.4.9-alpha2)
- Adobe Commerce B2B (todas as versões até 1.5.3-alpha2)
- Magento Open Source (todas as versões até 2.4.9-alpha2)
- Módulo Custom Attributes Serializable (versões 0.1.0 a 0.4.0)
Medidas de Proteção
A Adobe liberou um hotfix e implementou regras de WAF para proteger ambientes em nuvem. A empresa não tem conhecimento de explorações ativas da vulnerabilidade.
Contexto de Severidade
Especialistas em segurança classificam o SessionReaper como uma das vulnerabilidades mais graves da história do Magento, comparável a falhas críticas anteriores como Shoplift (2015) e CosmicSting (2024).
Vulnerabilidade Adicional
A Adobe também corrigiu uma falha crítica de path traversal no ColdFusion (CVE-2025-54261, CVSS 9.0) que poderia levar à escrita arbitrária no sistema de arquivos.