Por Mid 
Explotación activa de “SessionReaper” en Adobe Commerce y Magento: 250 ataques en 24 horas y el 62% de las tiendas continúan expuestas
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- Crítica vulnerabilidad CVE-2025-54236, conocida como “SessionReaper”, en Adobe Commerce y Magento.
- Aproximadamente 250 intentos de ataque documentados en un solo día.
- El 62% de las tiendas aún no han aplicado las medidas de seguridad necesarias.
- Adobe lanzó una actualización urgente en septiembre, pero la adopción del parche es solo del 38%.
- Se anticipa un incremento en la actividad maliciosa relacionada con esta vulnerabilidad.
Índice
- Explotación activa de la vulnerabilidad
- Respuesta de Adobe
- Advertencias de Sansec
- Análisis técnico de Searchlight Cyber
- Situación anterior: “CosmicSting”
Explotación activa de la vulnerabilidad
Recientemente, Sansec ha confirmado la explotación activa de la crítica vulnerabilidad CVE-2025-54236, conocida como “SessionReaper”, que ha sido objeto de aproximadamente 250 intentos de ataque en un solo día. Se estima que un alarmante 62% de las tiendas que operan con estas plataformas siguen sin aplicar las medidas de seguridad necesarias.
Adobe Commerce y Magento Open Source están bajo una intensa campaña de explotación relacionada con la vulnerabilidad crítica identificada. Según reportes de Sansec, el miércoles pasado se documentaron cerca de 250 intentos de intrusión en varias tiendas online. Este fallo, calificado con una severidad de CVSS 9.1, se caracteriza por un problema de validación de entradas que podría permitir la toma de control de cuentas de cliente a través de la REST API de Commerce.
Respuesta de Adobe
En respuesta a esta amenaza, Adobe lanzó una actualización urgente en septiembre dirigida a las versiones de 2.4.4 a 2.4.7. Recientemente, la compañía actualizó su aviso oficial, reconociendo que se están llevando a cabo intentos de explotación en entornos reales. A pesar de esto, el porcentaje de adopción del parche es preocupantemente bajo: se estima que apenas el 38% de las tiendas han realizado la actualización, lo que deja alrededor del 62% susceptible a ataques.
Advertencias de Sansec
Sansec ya había advertido sobre la posibilidad de un incremento en la actividad maliciosa tras la filtración del parche una semana antes de su anuncio oficial. La serie de intentos registrados hasta la fecha parece corroborar esta advertencia. Entre las acciones detectadas por Sansec se encuentran la inserción de puertas traseras en PHP y consultas a phpinfo, las cuales se utilizan para extraer información de la configuración. Esta actividad ocurre a través de la ruta “/customer/address_file/upload”, que se presenta como una sesión apócrifa, según indica Sansec.
Análisis técnico de Searchlight Cyber
Simultáneamente, Searchlight Cyber ha publicado un análisis técnico que clasifica “SessionReaper” como un caso de deserialización anidada con el potencial de ejecución remota de código. Se anticipa que la explotación de esta vulnerabilidad se intensificará en las próximas horas, por lo que es fundamental que los usuarios implementen de inmediato los parches disponibles y mantengan sus plataformas en la versión más reciente.
Situación anterior: “CosmicSting”
Este hecho recuerda una situación anterior en el mismo ecosistema: en julio de 2024, tuvo lugar una explotación masiva de otra vulnerabilidad crítica, denominada “CosmicSting” (CVE-2024-34102).