Az Adobe Magento új hibáját már a hackerek is kihasználják

Több száz támadási kísérletet jegyeztek fel az Adobe Commerce (korábbi nevén Magento) platform SessionReaper nevű sérülékenysége (CVE-2025-54236) elleni támadások során. A hibát a Sansec biztonsági cég fedezte fel, és az Adobe szeptember 8-án jelezte, hogy a sebezhetőség a Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 (és korábbi) verzióit érinti.

Könnyű átvenni a felhasználói fiókokat

A sebezhetőséget kihasználó támadók interakció nélkül átvehetik az ügyfélszámlák munkameneteit a Commerce REST API-n keresztül. A Sansec szerint az esetek döntő többségében ez akkor lehetséges, ha a munkamenet-adatok alapértelmezés szerint a fájlrendszeren kerülnek tárolásra – ahogy az a legtöbb boltban szokás. Ráadásul egy kiszivárgott gyártói javítás is rámutatott arra, hogyan használható ki a sérülékenység.

Tömeges támadások, veszélyben a boltok

Hat héttel azután, hogy az Adobe kiadta a vészfrissítést, a támadások élesben megjelentek. A Sansec ma már több mint 250 SessionReaper elleni támadást akadályozott meg, amelyek főként öt IP-címről érkeztek. A támadók PHP webshell telepítésével, illetve rendszerbeállításokat ellenőrző szkriptekkel támadtak.

A legtöbb webshop még mindig sebezhető

A Sansec friss adatai szerint a Magento üzletek 62%-a továbbra sem telepítette a javítást, így komoly veszélynek van kitéve. Tíz nappal a frissítés megjelenése után csupán minden harmadik oldal frissült, jelenleg pedig háromból két webáruház védtelen maradt. Az üzemeltetőknek haladéktalanul telepíteniük kell az Adobe javítását, vagy alkalmazniuk a gyártó által javasolt védelmi lépéseket.

2025, adrienne, www.bleepingcomputer.com alapján