Die als CVE-2025-54236 verfolgte Schwachstelle, in der Community auch SessionReaper genannt, betrifft Adobe Commerce und Magento und wird mit CVSS 9,1 als kritisch eingestuft. Laut Adobe und den Forschenden von Sansec ermöglicht der Fehler unauthentifizierte Kontoübernahmen über das REST API. Ein offizieller Patch ist verfügbar; für Adobe Commerce on Cloud ist zusätzlich ein WAF-Regelwerk als Zwischenmaßnahme aktiv.
Betroffene Umgebungen und aktueller Status
Adobe informierte ausgewählte Commerce-Kunden am 4. September über das anstehende Fix und veröffentlichte das Update am 9. September. Bislang liegen Sansec zufolge keine verifizierten Angriffe aus der Praxis vor. Allerdings ist ein früher Hotfix in der vergangenen Woche öffentlich geworden, was typischerweise die Entwicklung automatisierter Exploits beschleunigt.
Wer gefährdet ist: Session-Speicherung und Standard-Setups
Besonders risikobehaftet sind Installationen, in denen Sitzungsdaten im Dateisystem abgelegt werden – eine in Produktion weit verbreitete Default-Konfiguration. Cloud-Kunden profitieren zwar von einem ergänzenden WAF-Schutz, das Einspielen des Patches bleibt jedoch zwingend.
Angriffsbild über das REST API – verständlich erklärt
Die Verwundbarkeit beruht auf einer fehlerhaften Server-seitigen Verarbeitung von Session-Daten bei API-Aufrufen. Unter bestimmten Bedingungen kann dies zu Session-Hijacking führen: Angreifende übernehmen aktive Sitzungen und damit Kundenkonten – ohne vorherige Anmeldung. Dateibasierte Session-Stores erhöhen das Risiko, da sie schwieriger zentral zu härten und zu überwachen sind als Backends wie Redis.
Warum E‑Commerce besonders exponiert ist
API-Missbrauch zählt laut OWASP API Security Top 10 zu den häufigsten Angriffsvektoren. Historische Magento-Fälle (CosmicSting, TrojanOrder, Ambionics SQLi, Shoplift) zeigen, wie Schwachstellen zu Session-Fälschung, Privilegieneskalation, lateralem Zugriff und sogar Remote Code Execution führen können. Im E‑Commerce resultieren Kontoübernahmen oft in Skimmer-Injects (Magecart), Missbrauch von Zahlungsdaten und finanziellen Schäden. Branchenberichte (u. a. Verizon DBIR) unterstreichen seit Jahren die Dominanz von Web‑ und API-Angriffen in Vorfällen.
Sofortmaßnahmen und Härtungsempfehlungen
1) Patch- und Change-Management
Patch umgehend einspielen. Vorab Backups erstellen und das Update in Staging testen. Adobe weist darauf hin, dass das Fix interne Magento-Funktionen deaktivieren kann – prüfen Sie Custom-Code, Integrationen und Extensions auf Nebenwirkungen.
2) Session-Management stärken
Nach Möglichkeit Umstellung von Dateisystem auf Redis oder einen zentralen Store. Kurze TTL für Gastsitzungen, strikte Session-ID‑Rotation nach Login/Rechtewechsel und forcierte Invalidierung nach Änderungen sicherheitsrelevanter Attribute.
3) REST-API absichern
WAF-Regeln aktivieren/aktualisieren, Rate Limiting, Anomalieerkennung und Geo-Restriktionen für sensible Endpunkte. Für administrative APIs möglichst eine IP-Allowlist erzwingen und unnötige Endpunkte deaktivieren.
4) Monitoring und Incident Response
Logs auf auffällige API-Muster, Fehler bei der Autorisierung und Spikes prüfen. Verdächtige Token zurückziehen und bei Bedarf eine erzwungene Neu-Authentifizierung ausrollen. SIEM-Alarmierung für Indikatoren einer Session-Übernahme einrichten.
5) Kommunikation und Prävention
Kunden bei Zwangslogouts transparent informieren und zur 2‑Faktor-Authentifizierung raten, sofern verfügbar. Interne Teams zu API‑Missbrauch und Phishing‑Folgerisiken briefen.
Ausblick und Risikobewertung
Die Kombination aus CVSS 9,1, fehlender Authentifizierung und einem REST-API‑Angriffsvektor macht SessionReaper attraktiv für Scanner und Botnetze. Auch ohne bestätigte Ausnutzung erhöht die Hotfix-Leakage die Wahrscheinlichkeit kurzfristig verfügbarer Exploits. Organisationen sollten das Patch-Fenster minimal halten, Sessions und API‑Traffic engmaschig überwachen und geschäftskritische Integrationen nach dem Update regressionssicher testen.
Schnelles Handeln senkt das Risiko automatisierter Angriffe, schützt Kundendaten und reduziert potenzielle Umsatz- sowie Reputationsverluste. Wer jetzt patcht, Session- und API-Kontrollen härtet und die Erkennungslage verbessert, verringert die Angriffsfläche spürbar und schafft Resilienz gegenüber der nächsten Welle massenhaft automatisierter E‑Commerce-Attacken.