Критична уразливість CVE-2025-54236, відома як SessionReaper, зачіпає Adobe Commerce і Magento та має оцінку 9,1 за CVSS. За даними Adobe і дослідників Sansec, дефект дозволяє без аутентифікації перехоплювати активні сесії клієнтів через REST API і отримувати контроль над обліковими записами. Adobe вже випустила патч, а для клієнтів Adobe Commerce on Cloud активовано WAF-правило як тимчасовий запобіжник.
Ключові факти: масштаб проблеми та статус виправлення
Adobe повідомила «обраних клієнтів Commerce» про майбутній фікс 4 вересня, а оновлення стало доступним 9 вересня. За спостереженнями Sansec, підтвердженої експлуатації в реальних атаках наразі немає. Водночас витік початкового хотфікса минулого тижня підвищує ризик швидкої автоматизації експлойтів і масового сканування вразливих магазинів.
Кого зачіпає SessionReaper і за яких умов
Уразливість проявляється в інсталяціях, де сесії зберігаються у файловій системі — це типовий режим і часто використовується в продакшені. Клієнти Adobe Commerce on Cloud додатково прикриті вбудованим WAF-правилом, однак встановлення офіційного патча залишається обов’язковим для усіх середовищ.
Суть ризику: як можливий перехоплення сесій через REST API
Проблема зводиться до некоректної обробки сесійних даних на сервері при зверненні до REST API. За певних умов це відкриває шлях до угону активної сесії та захоплення облікового запису без логіна і пароля. Залежність від файлового сховища сесій робить атаки практичнішими порівняно з централізованими бекендами на кшталт Redis, де контроль доступу та ротація ключів зазвичай чіткіше реалізовані.
Чому це критично для e‑commerce та API-безпеки
Атаки на API входять до OWASP API Security Top 10 і регулярно використовуються проти інтернет-магазинів. Історично серйозні проблеми в Magento (CosmicSting, TrojanOrder, Ambionics SQLi, Shoplift) застосовувалися для підміни сесій, підвищення привілеїв, проникнення у внутрішні сервіси та виконання коду. Sansec очікує, що CVE-2025-54236 швидко потрапить до арсеналу масових бот-мереж для викрадення акаунтів, впровадження скріптів-скіммерів (Magecart) і компрометації платіжних даних.
Рекомендації для адміністраторів і розробників Magento/Adobe Commerce
1) Негайно встановіть офіційний патч. Зробіть бекапи, розгорніть оновлення на staging і лише потім у продакшені. Adobe попереджає, що фікс вимикає низку внутрішніх механізмів Magento, що може вплинути на кастомний код та інтеграції.
2) Посильте керування сесіями. Розгляньте перенесення з файлового сховища на Redis або інший централізований бекенд; налаштуйте короткий TTL для гостьових сесій, сувору регенерацію session ID і примусову інвалідацію після зміни критичних атрибутів профілю чи прав.
3) Укріпіть REST API. Ввімкніть/оновіть WAF-правила, застосуйте rate limiting, фільтрацію аномалій і геообмеження для чутливих ендпоінтів. За можливості активуйте IP allowlist для адміністративних API.
4) Моніторинг і реагування. Перевірте журнали на піки активності API, збої автентифікації та нетипові шаблони запитів; перегляньте й ротуйте токени; у разі підозри проведіть масовий примусовий вихід користувачів. Налаштуйте алерти SIEM на індикатори підміни сесій.
5) Комунікація з клієнтами. За потреби попередьте користувачів про примусовий вихід і рекомендуйте ввімкнути 2FA там, де це доступно.
Оцінка загрози та пріоритети найближчого часу
Поєднання високої оцінки CVSS, відсутності необхідності в автентифікації та орієнтації на REST API робить SessionReaper привабливою ціллю для сканерів і ботнетів. Попри відсутність підтверджених інцидентів, витік хотфікса підвищує шанси швидкої появи робочих експлойтів. Вікно для безпечного оновлення має бути мінімальним.
Організаціям на Adobe Commerce і Magento варто діяти негайно: встановити патч, зміцнити керування сесіями та захист API, а також ретельно протестувати бізнес‑критичні інтеграції з огляду на зміни внутрішніх механізмів Magento. Своєчасні дії зараз знижують ризик автоматизованих атак, фінансових втрат і репутаційних збитків.
