Una vulnerabilidad crítica, identificada como CVE-2025-54236 y apodada SessionReaper, impacta a Adobe Commerce y Magento con una severidad de 9,1 CVSS. Según Adobe y la firma de investigación Sansec, el fallo permite el secuestro de sesión y la posterior toma de cuentas sin autenticación a través del REST API. El parche oficial ya está disponible y Adobe ha activado de manera temporal una regla WAF para clientes de Commerce en la nube.
Alcance y estado: parche publicado y riesgo de explotación creciente
Adobe notificó a “clientes seleccionados” el 4 de septiembre y publicó la corrección el 9 de septiembre. De acuerdo con Sansec, no se han observado campañas activas en la naturaleza hasta el momento; sin embargo, un hotfix inicial se filtró públicamente la semana previa, lo que suele acelerar la ingeniería inversa y la automatización de exploits.
Quiénes están más expuestos y por qué
El riesgo se materializa especialmente cuando las sesiones se almacenan en el sistema de archivos, una configuración por defecto común en producción. Los clientes de Adobe Commerce on Cloud cuentan con una regla WAF adicional, pero no sustituye la instalación inmediata del parche. Migrar a almacenes centralizados (por ejemplo, Redis) reduce la superficie de ataque y mejora el control.
Cómo se manifiesta el problema (explicado en términos prácticos)
La vulnerabilidad deriva de una gestión incorrecta de datos de sesión en el servidor al interactuar con el REST API. En condiciones específicas, un atacante puede apropiarse de sesiones activas y operar cuentas ajenas sin autenticarse. Al depender del almacenamiento en disco, la supervisión y la invalidación oportuna de sesiones se dificultan frente a backends centralizados.
Impacto en e‑commerce: de robo de cuentas a skimmers de pago
Las API se han consolidado como vector de ataque prioritario (véase OWASP API Security Top 10), y el ecosistema Magento ha sufrido incidentes relevantes en el pasado (Shoplift, TrojanOrder, CosmicSting, Ambionics SQLi). En escenarios reales, fallas de este tipo derivan en robo de cuentas, elevación de privilegios, inyección de skimmers y compromiso de datos de pago. Sansec anticipa que CVE-2025-54236 se incorporará rápidamente a kits de botnets y escáneres automatizados.
Medidas inmediatas de mitigación y buenas prácticas recomendadas
1) Aplique el parche oficial sin demora. Realice copias de seguridad y pruebe en staging. Adobe advierte que la corrección puede deshabilitar funciones internas de Magento, afectando integraciones o personalizaciones: planifique pruebas de regresión.
2) Refuerce la gestión de sesiones. Considere migrar de archivos a Redis u otro backend centralizado; acorte el TTL de sesiones de invitado; habilite regeneración estricta de ID de sesión e invalidación forzada tras cambios sensibles (contraseña, MFA, email).
3) Endurezca el REST API. Active o actualice reglas WAF, implemente rate limiting, filtrado por anomalías y geo‑restricciones en endpoints sensibles. Cuando sea viable, utilice listas de permitidos por IP para APIs administrativas.
4) Monitorice y responda. Revise logs por picos de tráfico API, errores de autenticación y patrones atípicos; rote tokens y evalúe una revocación masiva de sesiones si hay indicios de compromiso. Configure alertas en su SIEM ante señales de session hijacking.
5) Comunicación al cliente final. Si procede, notifique cierres de sesión forzados y promueva el uso de autenticación multifactor (MFA).
Evaluación del riesgo y próximos pasos para Adobe Commerce/Magento
La combinación de alto CVSS, ausencia de autenticación y explotación mediante REST API convierte a SessionReaper en un objetivo atractivo para campañas automatizadas. Aunque no haya evidencia de explotación activa hoy, la filtración del hotfix eleva la probabilidad de exploits funcionales a corto plazo. El ventana de actualización debe ser lo más breve posible y con hardening adicional del plano API.
Actualizar de inmediato, fortalecer la capa de sesión y auditar integraciones críticas tras el parche son acciones clave para reducir la exposición y evitar pérdidas financieras y reputacionales. Mantener controles de API alineados con OWASP y una detección temprana basada en telemetría y SIEM marcará la diferencia frente a la próxima ola de ataques automatizados.