Kritieke kwetsbaarheid ontdekt in Adobe Commerce en Magento Open Source

[Captain Kirk]

Een kritieke kwetsbaarheid is ontdekt in Adobe Commerce en Magento Open Source. De kwetsbaarheid stelt kwaadwillende in staat om accounts van klanten over te nemen en daarnaast op afstand code uit te voeren op kwetsbare systemen.

Het lek (CVE-2025-54236) wordt 'SessionReaper' genoemd. Adobe meldt dat de kwetsbaarheid het mogelijk maakt om de controle over een webshop over te nemen. Sansec Forensics Team waarschuwt echter dat het ook mogelijk is om code op afstand uit te voeren.

De aanval combineert een malafide sessie met een deserialisatie bug in de REST API van Magento. Voor het uitvoeren van code moet vermoedelijk bestands gebaseerde sessie opslag worden gebruikt. SanSec adviseert echter ook gebruikers die Redis of database sessies inzetten om actie te ondernemen.

Een patch die de kwetsbaarheid verhelpt is inmiddels beschikbaar gemaakt door Adobe. SanSec wijst erop dat deze patch vorige week is uitgelekt, wat aanvallers de mogelijkheid heeft gegeven om vroegtijdig een exploit code te ontwikkelen. Ook waarschuwt het beveiligingsbedrijf voor geautomatiseerde aanvallen die de kwetsbaarheid proberen uit te buiten. SanSec benadrukt dan ook de noodzaak om de patch zo snel mogelijk te installeren.

 

bron: https://www.security.nl