SessionReaper colpisce Magento e Adobe Commerce: account takeover e RCE non autenticata

La CVE-2025-54236 (CVSS 9.1) è una vulnerabilità critica che consente l’acquisizione di account e, in determinate condizioni, l’esecuzione di codice remoto non autenticato (RCE). La falla CVE-2025-54236, ribattezzata “SessionReaper”, colpisce Adobe Commerce, Adobe Commerce B2B e Magento Open Source. All’origine del problema vi è una convalida impropria degli input [CWE-20] nell’API REST. L’advisory ufficiale di Adobe la classifica come un bypass delle funzionalità di sicurezza, ma non fornisce ulteriori dettagli tecnici.

La catena di exploit che sfrutta CVE-2025-54236 parte da una deserializzazione nidificata [CWE-502] e porta alla creazione di una sessione malevola associata a un account cliente. I ricercatori di Sansec segnalano che l’esecuzione di codice remoto (RCE) è possibile quando l’archiviazione delle sessioni è basata su file, ma possono esistere anche altre catene d’attacco, ad esempio sfruttando Redis o la memorizzazione delle sessioni su database. La scoperta e la divulgazione responsabile di CVE-2025-54236 sono attribuite a Blaklis, che ha notificato il problema tramite la piattaforma HackerOne.

Al momento non esistono descrizioni tecniche complete, proof-of-concept o kit di exploit resi pubblici. ll CERT-FR, però, ha già pubblicato un avviso ufficiale sulla vulnerabilità. L’ di Greenbone dispone già di un test di vulnerabilità remoto per individuare i sistemi esposti e verificare lo stato delle patch.

Valutazione del rischio: CVE-2025-54236 “SessionReaper”

Magento Open Source (lanciato nel 2008) e la sua versione commerciale, Adobe Commerce, sono tra le piattaforme di e-commerce più diffuse: nel 2024 gestivano circa 200–250.000 shop attivi. Proprio questa ampia diffusione le rende obiettivi particolarmente appetibili per i cybercriminali.

Le vulnerabilità precedenti di Magento sono state sfruttate in attacchi di mass exploitation entro poche ore dalla loro divulgazione [1][2][3][4]. In questo caso, la patch di Adobe è stata accidentalmente  resa pubblica, offrendo così agli aggressori un vantaggio nello sviluppo di exploit. Se sfruttata, la vulnerabilità potrebbe permettere agli aggressori di installare malware [T1105] per mantenere un accesso persistente [TA0003]  all’infrastruttura della vittima. Ciò apre la porta a ulteriori attacchi, come il furto di dati delle carte di pagamento, usate per eseguire transazioni fraudolente [T1657], il furto di altre informazioni sensibili [TA0010], campagne di phishing [T1566] rivolte ai clienti del sito o implementazione di ransomware [T1486].

Mitigazione di CVE-2025-54236 (“SessionReaper”)

CVE-2025-54236 interessa diverse versioni di Adobe Commerce, Adobe Commerce B2B e Magento Open Source, compreso il modulo Custom Attributes Serializable su tutte le piattaforme e modalità di distribuzione [1]. Tuttavia, la knowledge base di Adobe presenta alcune incongruenze: da un lato indica che le versioni del modulo da 0.1.0 a 0.4.0 sono vulnerabili, dall’altro consiglia di aggiornare il modulo alla versione 0.4.0 o successiva.

Si raccomanda agli utenti di installare immediatamente l’hotfix fornito da Adobe o di aggiornare all’ultima versione disponibile, per proteggere le operazioni online e la sicurezza dei clienti. È inoltre consigliabile effettuare una valutazione approfondita per verificare eventuali compromissioni e, se presenti, rimuovere le infezioni. Adobe ha pubblicato anche una guida per gli sviluppatori per supportare l’adattamento alle modifiche necessarie nell’API REST delle applicazioni web. L’OPENVAS ENTERPRISE FEED di Greenbone include già un test di vulnerabilità remoto per identificare i sistemi esposti.

Conclusione

La CVE-2025-54236 rappresenta un rischio critico per gli utenti di Magento e Adobe Commerce. La vulnerabilità consente agli aggressori di acquisire account e di eseguire codice remoto non autenticato sull’infrastruttura della vittima. I difensori devono identificare subito i sistemi vulnerabili e installare le patch necessarie. Il Greenbone OPENVAS ENTERPRISE FEED permette di individuare le applicazioni web esposte e di verificare lo stato delle patch. Inoltre, i responsabili di sicurezza IT dovrebbero monitorare i sistemi per rilevare eventuali compromissioni e rimuovere le infezioni qualora vengano individuati indicatori di compromissi