Критическая уязвимость, известная как SessionReaper (CVE-2025-54236), была обнаружена в открытых релизах Adobe Commerce и Magento. Ей присвоена оценка CVSS 9.1, и уже подтверждена активная эксплуатация в дикой природе. Уязвимость затрагивает версии модулей с 0.1.0 по 0.3.0 включительно; владельцам магазинов настоятельно рекомендуется обновиться до версии 0.4.0 или выше.
В чём суть уязвимости
Проблема связана с неправильной проверкой входных данных в модуле сериализуемых пользовательских атрибутов. Злоумышленники, используя этот недостаток, получили возможность загружать и запускать произвольные PHP-скрипты на уязвимых серверах. На практике это привело к развёртыванию PHP web shells и выполнению вызовов phpinfo(), которые помогают атакующим изучить конфигурацию системы и найти дальнейшие точки для эксплуатации.
Масштаб и активность злоумышленников
Один из поставщиков охранных услуг, Sansec, зафиксировал более 250 попыток эксплуатации уязвимости в течение одного дня — показатель, который подчёркивает как срочность, так и масштаб угрозы. Аналитики отмечают, что по рискам и последствиям SessionReaper сравним с предыдущими крупными уязвимостями платформы, такими как CosmicSting и Shoplift.
Несмотря на наличие исправления, темпы его внедрения оставляют желать лучшего: примерно 62% магазинов Magento оставались непатченными почти шесть недель после релиза апдейта. Первоначально только около трети магазинов внедрили фикс вскоре после его выхода.
Показатели компрометации и индикаторы для обнаружения
Администраторам и специалистам по защите стоит отслеживать следующие признаки возможной эксплуатации:
- Неожиданные файлы с расширением .php в каталоге веб-приложения;
- Странные или новые ответы от phpinfo(), свидетельствующие о выполнении этих вызовов на сервере;
- Всплески POST-запросов к REST API endpoints — аномально высокая активность по созданию или изменению сущностей;
- Новые пользовательские сессии, создаваемые без видимых действий со стороны легитимных пользователей;
- IP-адреса, генерирующие подозрительный трафик — целесообразно временно заблокировать или ограничить доступ для них.
Рекомендации по защите и реагированию
- Немедленное обновление: обновите уязвимые компоненты до версии 0.4.0 или выше.
- Проведите аудит файловой системы на наличие новых или модифицированных PHP-файлов, особенно в директориях загрузки и тем.
- Проверьте логи веб-сервера и приложения на аномальные POST-запросы и вызовы API.
- Идентифицируйте и временно блокируйте источники подозрительного трафика (IP-адреса).
- Если обнаружены следы эксплуатации (web shell, вызовы phpinfo и т.п.), рассматривать комплексные меры — изоляция, восстановление из чистой резервной копии и полная смена ключей/учётных данных.
- Повысите мониторинг и внедрите правила WAF, которые ограничат возможность загрузки и выполнения произвольных PHP-скриптов.
Вывод
«SessionReaper представляет значительные риски, аналогичные другим печально известным уязвимостям Magento», — отмечают аналитики.
Наличие исправления не устраняет проблему массового риска до тех пор, пока значительная доля экосистемы остаётся непатченной. Владельцам интернет-магазинов на базе Adobe Commerce и Magento необходимо срочно обновить уязвимые версии, провести аудит и внедрить дополнительные меры защиты, чтобы не допустить компрометации и утечки данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SessionReaper (CVE-2025-54236): критическая угроза для Magento".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
