Adobe залатали дыру, а 60% админов «забили». Теперь хакеры захватывают их магазины

leer en español

Sansec Adobe Magento SessionReaper Searchlight Cyber CVE-2025-54236 уязвимость
Adobe залатали дыру, а 60% админов «забили». Теперь хакеры захватывают их магазины
Sansec Adobe Magento SessionReaper Searchlight Cyber CVE-2025-54236 уязвимость

Что такое SessionReaper и почему эта уязвимость так опасна для вашего бизнеса?

image

Хакеры начали активно использовать критическую уязвимость в платформах Adobe Commerce и Magento Open Source, несмотря на то что проблема была официально устранена ещё в прошлом месяце. За последние сутки зафиксировано более 250 попыток атак на онлайн-магазины, использующие эти решения, что свидетельствует о начале масштабной кампании по эксплуатации недавно выявленной бреши. Наибольшую угрозу несут атаки, в ходе которых через API создаются поддельные пользовательские сессии с целью полного захвата учётных записей покупателей.

Уязвимость отслеживается как CVE-2025-54236 и получила высокий балл опасности — 9.1 по шкале CVSS. Проблема связана с некорректной валидацией пользовательского ввода в интерфейсе Commerce REST API, что позволяет злоумышленнику выполнять удалённый код. Специалисты дали уязвимости название SessionReaper. Её выявил и раскрыл автор под псевдонимом Blaklis, после чего компания Adobe выпустила соответствующее обновление. Тем не менее, спустя шесть недель после публикации информации о баге, более 60% всех установок Magento остаются незащищёнными, что делает их лёгкой мишенью для атак.

Согласно отчёту компании Sansec, вредоносная активность связана с целой серией IP-адресов, с которых злоумышленники загружают PHP-вебшеллы через конечную точку «/customer/address_file/upload», маскируя действия под обычную клиентскую сессию. В некоторых случаях также фиксируется обращение к phpinfo для сбора информации о конфигурации среды исполнения. Цель таких действий — обеспечить устойчивый доступ к системе и расширить вектор атаки за счёт внедрения произвольного кода.

Параллельно исследователи из Searchlight Cyber опубликовали технический разбор CVE-2025-54236. В своём анализе они охарактеризовали её как сложную вложенную уязвимость десериализации, позволяющую добиться выполнения произвольных команд на удалённом сервере. Это уже второй случай за последние два года, когда платформы Adobe Commerce и Magento страдают от критических уязвимостей такого типа. Летом 2024 года широко эксплуатировался другой баг, получивший название CosmicSting (CVE-2024-34102) с ещё более высоким рейтингом опасности — 9.8.

По мере того, как эксплойты и технические детали продолжают распространяться в открытых источниках, специалисты настоятельно призывают администраторов сайтов как можно скорее обновить свои системы. Медлительность в данном случае создаёт благоприятные условия для масштабной волны компрометаций на фоне уже активной деятельности атакующих.