SessionReaper: Account Takeover und nicht authentifizierte RCE in Magento and Adobe Commerce

CVE-2025-54236 (CVSS 9.1) ist eine Account-Takeover-Schwachstelle, die unter bestimmten Voraussetzungen zur Ausführung von Code aus der Ferne (Remote Code Execution, RCE) führen kann. CVE-2025-54236, bekannt unter dem Namen „SessionReaper“ betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source Webanwendungen. Die Ursache ist unzureichende Eingabevalidierung CWE-20 in der REST API. Adobes offizieller Sicherheitshinweis beschreibt das Problem ohne weitere Erklärung als „Security Feature Bypass“.

Die Exploit-Kette von CVE-2025-54236 beginnt mit einer verschachtelten Deserialisierungs-Schwachstelle [CWE-502] und führt zu einer manipulierten Session für ein Kundenkonto. Sicherheitsforschende von Sansec behaupten, die Nutzung dateibasierter Session-Speicherung würde RCE ermöglichen. Überdies sei die Existenz weiterer Angriffsketten, z.B. RCE über Redis- oder Datenbank-Session-Speicherung denkbar. Blaklis wird die Entdeckung und verantwortliche Meldung von CVE-2025-54236 über die Plattform HackerOne zugeschrieben.

Eine vollständige technische Beschreibung, PoC (Proof-of-Concept, Machbarkeitsnachweis) oder gar Exploit-Kits sind bislang nicht öffentlich verfügbar. Dennoch gab Frankreichs CERT-FR bereits eine öffentliche Meldung über die Schwachstelle aus. Greenbone’s OPENVAS ENTERPRISE FEED stellt einen Remote-Banner-Check zur Identifizierung angreifbarer Systeme und Patch-Prüfung zur Verfügung.

Risikobewertung zu CVE-2025-54236 (aka „SessionReaper“)

Magento Open Source (veröffentlicht 2008) und das kommerzielle Gegenstück Adobe Commerce gehören zu den meist genutzten E-Commerce-Plattformen der Welt. Stand 2024 stützen sie schätzungsweise 200.000-250.000 aktive Shops, womit Magento zu den führenden E-Commerce-Systemen weltweit gehört. Diese Verbreitung mach Magento zu einem attraktiven Angriffsziel.

Frühere Magento-Schwachstellen wurden bereits wenige Stunden nach Veröffentlichung für massenhafte Angriffe ausgenutzt [1][2][3][4]. Im aktuellen Vorfall geriet Adobes Sicherheitsupdate versehentlich vorzeitig an die Öffentlichkeit, wodurch Angreifende einen Zeitvorteil für die Entwicklung von Exploit-Code gewinnen konnten. Bei erfolgreicher Ausnutzung könnten Angreifende Malware installieren [T1105] um den Versuch zu unternehmen, unbemerkt beständigen Zugang [TA0003] auf die Infrastruktur des Opfers zu erhalten. Dies könnte weitere Angriffe nach sich ziehen, beispielsweise Diebstahl von Kreditkarteninformationen für betrügerische Transaktionen [T1657], den Diebstahl anderer sensibler Daten [TA0010], Phishing-Angriffe [T1566] gegen Nutzende der Website, oder den Einsatz von Ransomware gegen das Opfer [T1486].

Abwehrmaßnahmen zu CVE-2025-54236 (aka „SessionReaper“)

CVE-2025-54236 betrifft Adobe Commerce, Adobe Commerce B2B und Magento Open Source über mehrere Versionen hinweg, sowie das Modul Custom Attributes Serializable auf allen Plattformen und Bereitstellungsarten [1]. Adobes Knowledge Base beschreibt Versionen 0.1.0 – 0.4.0 als betroffen, rät allerdings widersprüchlicherweise zu einem Update auf Version 0.4.0 oder höher.

Nutzende sind angewiesen, den von Adobe bereitgestellten Hotfix-Patch zu installieren, oder augenblicklich auf die neueste Version zu aktualisieren, um ihr Online-Business und ihren Kundenkreis zu schützen. Ebenfalls sollte genau geprüft werden, ob eine Instanz bereits kompromittiert wurde und im Falle einer Infektion die Schadsoftware beseitigt werden. Adobe hat außerdem einen Developer Guide veröffentlicht, um die notwendige Anpassung der REST-API zu erklären. Der OPENVAS ENTERPRISE FEED beinhaltet einen Remote Banner Check zur Identifizierung anfälliger Systeme.

Zusammenfassung

CVE-2025-54236 stellt ein kritisches Risiko für Nutzende von Magento und Adobe Commerce dar. Für Angreifende ermöglicht die Sicherheitslücke Account-Übernahme und potenziell unauthentifizierte RCE auf der Infrastruktur des Opfers. Verteidigungsteams sollten anfällige Systeme umgehend identifizieren und aktualisieren. Greenbones OPENVAS ENTERPRISE FEED hilft bei der Erkennung verwundbarer Systeme und Verifizierung des Risikostatus. IT-Sicherheitsteams sollten ihre Systeme auditieren, um mögliche Kompromittierungen zu entdecken und Infektionen zu entfernen, falls entsprechende Indikatoren (Indocators of Compromise, IoC) festgestellt werden sollten.