CVE-2025-54236

Nome do Software Vulnerável e Versões Afetadas Versões do Adobe Commerce de 2.4.4 até 2.4.9-alpha2

Descrição O Adobe Commerce e o Magento são afetados por uma vulnerabilidade crítica de Validação Imprópria de Entrada. Um atacante bem-sucedido pode explorar essa falha para assumir o controle da sessão, potencialmente levando a um alto impacto na confidencialidade e na integridade. A exploração não requer interação do usuário. Mais de 250 ataques foram observados visando sistemas vulneráveis a essa falha, com aproximadamente 62% das instalações permanecendo sem correção. Atacantes foram observados implantando webshells e explorando a vulnerabilidade para execução remota de código. A vulnerabilidade, apelidada de "SessionReaper" (CVE-2025-54236), impacta a API REST e permite acesso não autenticado. O ServiceInputProcessor é um componente chave envolvido na exploração.

Recomendações Aplique o patch de emergência lançado pela Adobe para as versões 2.4.4 até 2.4.9-alpha2. Implemente regras de Firewall de Aplicação Web (WAF) para mitigar tentativas de exploração. Revogue as sessões existentes e rotacione os tokens de sessão. Monitore atividades incomuns, incluindo arquivos PHP inesperados, respostas estranhas do phpinfo() e picos em solicitações POST para endpoints da API REST. Desative o armazenamento de sessão baseado em arquivos, se viável.