Adobe ha advertido sobre una
falla de seguridad crítica
en sus plataformas de código abierto Adobe Commerce y Magento
que, de explotarse con éxito, podría permitir a atacantes tomar el control de
las cuentas de clientes.
La vulnerabilidad, identificada como CVE-2025-54236 (también conocida como
SessionReaper), tiene una puntuación CVSS de 9,1 . Se ha descrito como una falla de
validación de entrada incorrecta. Adobe afirmó no tener constancia de ninguna
vulnerabilidad de seguridad activa.
«Un posible atacante podría tomar el control de las cuentas de clientes en
Adobe Commerce a través de la API REST»,
declaró Adobe.
Adobe Además de publicar una corrección para la vulnerabilidad, Sansec afirmó
haber implementado reglas WAF para proteger los entornos contra intentos de
explotación que puedan afectar a los comerciantes que utilizan la
infraestructura de Adobe Commerce en la nube.
«SessionReaper es una de las vulnerabilidades más graves de Magento en su
historia, comparable a
Shoplift
(2015),
Ambionics SQLi
(2019),
TrojanOrder
(2022) y
CosmicSting
(2024)»,
declaró
la empresa de seguridad Sansec.
Por su parte, SAP lanzó actualizaciones de seguridad
para abordar múltiples fallas de seguridad, incluidas tres vulnerabilidades
críticas en SAP Netweaver
que podrían resultar en la ejecución de código y la carga de archivos
arbitrarios.
Las vulnerabilidades son:
CVE-2025-42944
(CVSS 10.0),
CVE-2025-42922
(CVSS 9.9),
CVE-2025-42958
(CVSS 9.1).