El ecosistema de Adobe Commerce y Magento Open Source afronta desde esta semana una campaña de explotación activa contra la vulnerabilidad crítica CVE-2025-54236, bautizada por la comunidad como “SessionReaper”. El fallo —con severidad CVSS 9,1— permite eludir funciones de seguridad por un problema de validación de entradas y puede desembocar, según los avisos oficiales, en la toma de cuentas de clientes a través de la REST API de Commerce. La firma de seguridad Sansec ha confirmado unos 250 intentos de intrusión en un único día (miércoles), con cargas de webshells en PHP y peticiones phpinfo entre los artefactos observados. Mientras tanto, la adopción del parche sigue siendo baja: solo el 38 % de las tiendas habrían aplicado ya la actualización urgente, dejando expuesto al 62 % restante.
El fabricante publicó hotfixes a principios de septiembre para las ramas 2.4.4 a 2.4.7, e introdujo un apunte adicional esta semana en su aviso oficial para reconocer explotación “in the wild”. El escenario era, por otra parte, previsible: el parche se filtró una semana antes de su publicación oficial, lo que dio tiempo a actores maliciosos para preparar o automatizar procedimientos de ataque. Desde entonces, la actividad detectada encaja con ese guion.
Qué está pasando: del aviso al ataque masivo
SessionReaper no es un fallo menor. Catalogado como “improper input validation / security feature bypass”, abre la puerta, en su modalidad más directa, a la toma de cuentas de clientes mediante la API REST. En palabras llanas: un atacante a distancia puede manipular peticiones de tal forma que el sistema acepte lo que no debería y pivote hacia acciones no autorizadas. A partir de ahí, el impacto operativo depende de la postura de seguridad de cada tienda (permisos, extensiones, integraciones), pero el riesgo base es claro: robo de sesiones/cuentas, despliegue de backdoors, exfiltración y, según nuevos análisis, posible ejecución remota de código.
En las últimas 24 horas, Sansec ha visto alrededor de 250 intentos dirigidos contra múltiples tiendas. Entre los vectores figura la ruta /customer/address_file/upload, aprovechada por los atacantes como parte de sesiones falsas para colar cargas; junto a ella, las sondas phpinfo —clásicas en la fase de reconocimiento— y webshells en PHP orientadas a persistir y ejecutar comandos.
En paralelo, Searchlight Cyber ha publicado un análisis técnico que describe SessionReaper como un caso de deserialización anidada con potencial de RCE (remote code execution). Con detalles de explotación ya disponibles y ataques en curso, varios equipos anticipan una escalada del abuso en cuestión de horas: cuando aparecen los write-ups públicos, suelen emerger herramientas de escaneo/automatización que buscan de forma masiva tiendas sin parchear.
Cronología: parche filtrado, hotfix oficial y confirmación de explotación
- Principios de septiembre: Adobe publica hotfixes urgentes para 2.4.4–2.4.7.
- Semana previa: el parche se filtra; los defensores alertan de una ventana de riesgo para que los atacantes armen exploits.
- Miércoles (últimas 24 h): Sansec notifica unos 250 ataques dirigidos; payloads con webshells y sondas phpinfo; uso de la ruta
/customer/address_file/upload. - Esta semana: Adobe actualiza su advisory: “somos conscientes de explotación activa”.
- Estado de parcheo: 38 % de tiendas actualizadas; 62 % en riesgo.
El episodio recuerda al precedente reciente “CosmicSting” (CVE-2024-34102), explotado a gran escala en julio de 2024 en el mismo ecosistema.
Riesgo y superficie: qué puede hacer un atacante con SessionReaper
- Account takeover por REST API: acceso a cuentas de clientes (pedidos, direcciones, datos personales), con implicaciones en privacidad, fraude y reputación.
- Backdoors y persistencia: despliegue de webshells para controlar el servidor (crear usuarios, modificar plantillas, inyectar JS, interceptar pagos).
- Ejecución remota (potencial): según Searchlight Cyber, la deserialización anidada abre la puerta a RCE en entornos vulnerables, elevando el impacto al máximo.
- Movimiento lateral: una vez dentro, posibilidad de pivotar hacia bases de datos, almacenes o pasarelas si la segmentación es débil.
Dónde mirar ya: indicadores y huellas que dejan los ataques
- Rutas y verbos: actividad en
/customer/address_file/uploado endpoints REST relacionados con clientes/direcciones fuera de lo normal. - Cargas sospechosas: creación de ficheros en
pub/media,var/tmp,var,/media/importo ubicaciones accesibles; nombres aleatorios o similares a assets legítimos. - Sondas: peticiones a
phpinfo()o archivos.phprecién desplegados que devuelven información de configuración. - Logs de API: tokens desconocidos, IPs anómalas, saltos de User-Agent, picos de errores 4xx/5xx en endpoints de clientes.
- Integridad: diffs inesperados en plantillas (PHTML), módulos o crons.
- Admin: intentos de login y reset de contraseña fuera de horario; creación de usuarios admin.
Qué hacer hoy: plan de contención y parcheo en cuatro pasos
1) Identificar versión y aplicar hotfix sin demora
- Verifica tu versión (2.4.4–2.4.7) y aplica el hotfix de Adobe correspondiente. Si puedes, actualiza a la última versión soportada. Programa el downtime imprescindible y comunica a negocio.
- Prioriza tiendas expuestas a Internet; si gestionas múltiples instancias, crea una lista y ejecuta en oleadas.
2) Cortafuegos de emergencia (mientras parcheas)
- Activa y endurece el WAF (el de Cloudflare o el frontal que uses), bloqueando patrones de subida y acceso indebido a endpoints sensibles.
- Limita temporalmente el acceso a
/customer/address_file/upload(si tu negocio lo permite) o añade validaciones adicionales. - Geobloqueo/ratelimiting sobre IPs anómalas y User-Agents de escaneo.
3) Búsqueda y erradicación de backdoors
- Escanea el árbol de ficheros en busca de webshells conocidos y PHP recién modificados. Busca firmas simples:
eval(base64_decode(,assert(,system(,passthru(,chr(,$_POST['cmd']. - Revisa
pub/media,var/tmp,vendor,app/designylib. - Restituye archivos a partir de hashes o copias buenas; usa EDR/antimalware en el host si lo tienes.
4) Recuperación y fortificación
- Rota claves API, tokens de integración y contraseñas de admin; habilita 2FA en el panel.
- Revisa roles y permisos; elimina usuarios desconocidos.
- Habilita logs detallados (web, aplicación, WAF) y monitorización de integridad.
- Si operas múltiples tiendas, define un playbook para réplica del proceso y post-mortem.
Preguntas que harán dirección y cumplimiento (y respuestas rápidas)
¿Estamos afectados?
Si ejecutas Adobe Commerce o Magento 2.4.4–2.4.7 sin el hotfix de septiembre, sí, estás en riesgo. Si no has parcheado y tu tienda es accesible desde Internet, debes suponer exposición hasta que pruebes lo contrario.
¿Qué dice Adobe?
Adobe publicó hotfixes en septiembre y esta semana confirmó la explotación activa del fallo. La recomendación es parchear de inmediato y mantenerse en versiones soportadas.
¿Qué impacto real podemos esperar?
Desde robo de cuentas y datos personales hasta código remoto si se encadenan condiciones; además, interrupción del negocio, fraude y daño reputacional. El coste de no parchear es alto.
¿Es suficiente con WAF?
El WAF ayuda, pero no sustituye al parche. Los atacantes iteran y bypassean reglas; el hotfix corrige la raíz del problema.
Lecciones del precedente “CosmicSting” y por qué SessionReaper se parece (demasiado)
El verano de 2024 dejó una advertencia: “CosmicSting” (CVE-2024-34102) se explotó a escala en tiendas que tardaron en actualizar. La película se repite: fallo crítico, hotfix publicado, parche filtrado, explotación confirmada y adopción lenta. En ambos casos, el tiempo juega a favor del atacante. La ventana entre el aviso y el parcheo efectivo es donde ocurren los incidentes. Esta vez, con SessionReaper, los números (solo 38 % parcheado) sugieren que el guion puede repetirse si no se actúa ya.
Checklist rápido para equipos técnicos
- Confirmar versión y aplicar hotfix/actualización.
- Activar/ajustar WAF (reglas para subida y endpoints sensibles).
- Auditar logs de
/customer/address_file/upload, REST de clientes y phpinfo. - Buscar webshells y ficheros PHP nuevos o alterados.
- Rotar claves, 2FA para admin, revisar roles.
- Documentar incidente y preparar comunicación a partes interesadas.
- Programar post-mortem y hardening (mínimos privilegios, segmentación, backups verificados).
Preguntas frecuentes
¿Qué versiones están afectadas por “SessionReaper” (CVE-2025-54236)?
Adobe ha publicado hotfixes para 2.4.4 a 2.4.7. Si ejecutas una de esas ramas sin el hotfix de septiembre, tu tienda es vulnerable. Mantente en la última versión soportada y aplica parches en cuanto se publiquen.
¿Es cierto que se puede llegar a ejecución remota de código (RCE)?
El aviso oficial destaca bypass de funciones de seguridad y account takeover por REST API. Un análisis técnico adicional describe el caso como deserialización anidada con potencial de RCE; por prudencia operativa, trátalo como crítico y parchea.
¿Qué indicadores debo vigilar para saber si me han tocado?
Actividad anómala en /customer/address_file/upload, peticiones phpinfo(), creación de PHP desconocidos en pub/media, var y adyacentes, intentos de login/reset inusuales, usuarios admin nuevos, y difs en plantillas o módulos.
¿Por qué tantas tiendas siguen sin parchear si el fix salió en septiembre?
La realidad operativa: ventanas de hielo, picos de ventas, miedos a romper integraciones, cadenas de aprobación… Pero el riesgo de no parchear un CVSS 9,1 con explotación activa es mayor que el de una parada controlada de mantenimiento.
Fuentes: Sansec (observación de intentos de explotación y adopción de parches), Adobe (hotfixes de septiembre para 2.4.4–2.4.7, actualización del aviso confirmando explotación “in the wild”), Searchlight Cyber (análisis técnico de la vulnerabilidad y potencial de RCE), cronología de “CosmicSting” (CVE-2024-34102) como antecedente en el mismo ecosistema.
