Exploit „SessionReaper” w Adobe Commerce (Magento) – aktywne ataki na sklepy. Co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

W Adobe Commerce (Magento Open Source) ujawniono krytyczną podatność CVE-2025-54236 („SessionReaper”), ocenioną na CVSS 9.1. Błąd wynika z nieprawidłowej walidacji danych wejściowych i może prowadzić do obejścia mechanizmów bezpieczeństwa poprzez REST API – bez uwierzytelnienia. Adobe potwierdziło aktywną eksploatację tej luki i zaleca natychmiastowe aktualizacje/hotfixy.

W skrócie

• Status: aktywnie wykorzystywana w atakach (od 22–23 października 2025).
• Wpływ: przejęcie sesji klientów (account takeover); w określonych warunkach możliwa pre-auth RCE.
• Łatka: hotfix z 9 września 2025 r. + aktualizacje bezpieczeństwa z października; Adobe zaktualizowało biuletyn 22 października, dodając wzmiankę o exploitach „in the wild”.
• Skala: setki prób dziennie, większość niezałatanych sklepów przez cały czas podatna.

Kontekst / historia / powiązania

Adobe opublikowało APSB25-88 9 września 2025 r., udostępniając hotfix kompatybilny z wersjami 2.4.4–2.4.7 i odnoszący się do szerszej puli wersji (m.in. 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 i wcześniejsze). 22 października Adobe dopisało do biuletynu, iż CVE-2025-54236 jest wykorzystywana w środowisku produkcyjnym. Równolegle Sansec ostrzegł, iż szczegóły techniczne wyciekały/stały się publiczne, co przyspiesza weaponizację.

Analiza techniczna / szczegóły luki

• Klasa problemu: Improper Input Validation (CWE-20) → Security Feature Bypass (bez uwierzytelniania; niski poziom złożoności ataku).
• Wektor: nadużycie Commerce REST API i manipulacja sesją; Sansec opisuje łańcuch z zagnieżdżoną deserializacją oraz wskazuje, iż praktyczna droga do RCE może wymagać file-based session storage (domyślnej konfiguracji wielu sklepów).
• Artefakty ataków w naturze: pierwsze fale obejmowały upload PHP webshelli i phpinfo jako sondy; obserwowane masowe skanowanie i automatyzacja.
• Ścieżki HTTP widziane w telemetrii: m.in. /customer/address_file/upload używane do wstrzykiwania spreparowanych ładunków.

Praktyczne konsekwencje / ryzyko

• Przejęcie kont klientów (kradzież danych, zamówienia, oszustwa, chargebacki).
• W wielu środowiskach realna jest eskalacja do RCE i pełne przejęcie sklepu (skimming płatności, podszywanie się, modyfikacja treści, implanty).
• Duża powierzchnia ataku: według Sansec tylko ~38% sklepów było załatanych, gdy ruszyły kampanie; liczba prób w pierwszym dniu sięgała ~250.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast zastosuj hotfix/aktualizację z APSB25-88 (i późniejsze zbiorcze aktualizacje z października). Testuj w stagingu, ale priorytetem jest czas reakcji.
2. WAF / edge ochronny: o ile wdrożenie łatki dziś nie jest możliwe, aktywuj reguły WAF (np. Fastly dla Commerce Cloud) blokujące znane wektory REST/API.
3. Zmiana storage’u sesji: rozważ przejście z file-based na Redis/DB (zmniejsza ryzyko znanych łańcuchów do RCE).
4. Hunting i IR:
   • Przejrzyj logi pod kątem żądań do /customer/address_file/upload i nietypowych POST-ów do REST API.
   • Wyszukaj phpinfo, webshelle, nowe pliki w pub/media, var/session/, var/tmp/.
   • Rotuj secret crypt key i tokeny integracji; wymuś reset haseł klientów/adminów, jeżeli wykryto naruszenie.
5. Hardening:
   • Ogranicz uprawnienia do katalogów var/ i uploadów, włącz CSP, audytuj rozszerzenia.
   • Monitoruj integralność plików (FSIM/EDR) i włącz alerty na tworzenie/zmiany plików PHP w katalogach uploadu. (Dobre praktyki; niezależne od vendorów).
6. Komunikacja biznesowa: przygotuj komunikat do klientów (jeśli incydent), proces chargebacków, kontakt z bramkami płatniczymi i programem PCI DSS.

Różnice / porównania z innymi przypadkami

Sansec porównuje SessionReaper do wcześniejszych głośnych błędów Magento: Shoplift (2015), TrojanOrder (2022) i CosmicSting (2024) – wszystkie prowadziły do masowych kompromitacji w krótkim czasie po publikacji exploitów. Wspólnym mianownikiem jest niska złożoność ataku i szybka automatyzacja.

Podsumowanie / najważniejsze wnioski

• CVE-2025-54236 to krytyczna luka w Adobe Commerce/Magento, aktywnie wykorzystywana od 22–23.10.2025.
• Adobe potwierdziło eksploatację „in the wild” i udostępniło hotfix/aktualizacje – zastosuj je natychmiast.
• Ryzyko obejmuje przejęcie sesji klientów i – zależnie od konfiguracji – RCE.
• Jeśli nie możesz załatać dziś: WAF + zmiana storage’u sesji + hunting artefaktów.

Źródła / bibliografia

• Adobe, APSB25-88: Security update for Adobe Commerce / Magento Open Source (wyd. 9.09.2025, aktual. 22.10.2025). (Adobe Help Center)
• Sansec, SessionReaper – unauthenticated RCE in Magento & Adobe Commerce (CVE-2025-54236). (Sansec)
• Sansec, SessionReaper attacks have started, 3 in 5 stores still vulnerable (22.10.2025). (Sansec)
• SecurityWeek, Exploitation of Critical Adobe Commerce Flaw Puts Many eCommerce Sites at Risk (23.10.2025). (SecurityWeek)
• BleepingComputer, Hackers exploiting critical “SessionReaper” flaw in Adobe Magento (22.10.2025). (BleepingComputer)