Критическая уязвимость CVE-2025-54236, получившая неофициальное название SessionReaper, затрагивает платформы Adobe Commerce и Magento и оценивается в 9,1 по шкале CVSS. По данным Adobe и исследователей Sansec, баг позволяет злоумышленникам без аутентификации получать контроль над клиентскими учетными записями через Commerce REST API. Патч уже доступен, а для клиентов Adobe Commerce в облаке активировано правило WAF как временная мера защиты.
Ключевые факты: масштаб и текущий статус
Adobe уведомила «избранных клиентов Commerce» о предстоящем исправлении еще 4 сентября, выпустив апдейт 9 сентября. Эксплуатация уязвимости, по данным Sansec, пока не зафиксирована в реальных атаках. Однако исследователи предупреждают: первоначальный хотфикс утек в сеть на прошлой неделе, что увеличивает вероятность скорой автоматизации атак.
Кого затрагивает SessionReaper
Проблема проявляется в конфигурациях, где данные сессий хранятся в файловой системе — это настройка по умолчанию, широко используемая в продакшене. Клиенты Adobe Commerce on Cloud дополнительно защищены внедренным Adobe WAF-правилом, но установка официального патча остается обязательной.
Как устроен риск (без технических подробностей)
Суть уязвимости сводится к некорректной обработке сессионных данных на стороне сервера при обращении к REST API. В определенных условиях это может приводить к угону активной сессии клиента и захвату его аккаунта без прохождения аутентификации. Зависимость от хранения сессий в файловой системе делает атаки более реалистичными: такие хранилища сложнее централизованно защищать и контролировать, чем, например, Redis.
Почему это критично для e-commerce
API-атакующие векторы входят в OWASP API Security Top 10 и регулярно используются против интернет-магазинов. Исторически серьезные уязвимости в Magento (например, CosmicSting, TrojanOrder, Ambionics SQLi, Shoplift) применялись для подделки сеансов, повышения привилегий, доступа к внутренним сервисам и выполнения кода. Sansec ожидает, что CVE-2025-54236 быстро окажется в арсенале массовых автоматизированных атак, ориентированных на кражу аккаунтов, внедрение скриптов-скиммеров и компрометацию платежных данных.
Рекомендации администраторам и разработчикам
1) Срочно установить официальный патч. Сделайте резервные копии и разверните обновление в staging перед продакшеном: Adobe предупреждает, что исправление отключает ряд внутренних функций Magento, что может повлиять на кастомный и интеграционный код.
2) Укрепить управление сессиями. Рассмотрите перенос хранения сессий с файловой системы на Redis или другой централизованный бекенд, настройте короткий TTL для гостевых сессий, включите строгую регенерацию идентификаторов сессии и принудительную их инвалидизацию после смены критических атрибутов.
3) Ужесточить защиту REST API. Включите/обновите WAF-правила, внедрите rate limiting, аномалийную фильтрацию и гео-ограничения для чувствительных эндпоинтов. При возможности активируйте IP allowlist для административных API.
4) Мониторинг и реагирование. Проверьте логи на повышенную активность API, ошибки авторизации и аномальные шаблоны запросов; пересмотрите токены, выполните массовую принудительную переавторизацию пользователей при подозрении на компрометацию. Настройте предупреждения SIEM по индикаторам возможной сессионной подмены.
5) Коммуникация с заказчиками. При необходимости уведомите клиентов о принудительном выходе из аккаунтов и рекомендуйте включить двухфакторную аутентификацию там, где это применимо.
Оценка угрозы и дальнейшие шаги
Комбинация высокой оценки CVSS, отсутствия необходимости в аутентификации и ориентации на REST API делает SessionReaper привлекательной целью для сканеров и ботнетов. Даже при отсутствии подтвержденной эксплуатации в дикой природе на текущий момент, утечка хотфикса повышает вероятность скорой появления рабочих эксплойтов. Окно для безопасного развертывания обновлений должно быть максимально коротким.
Организациям на Adobe Commerce и Magento следует незамедлительно обновиться, усилить контроль за сессиями и трафиком API, а также протестировать бизнес-критичные интеграции из-за изменений во внутренних механизмах Magento после патча. Быстрые действия сейчас снизят риски автоматизированных атак, финансовых потерь и репутационных издержек.
