A Adobe corrigiu uma vulnerabilidade crítica em suas plataformas Commerce e Magento Open Source que pode levar à tomada total da conta.
Em um comunicado de segurança publicado recentemente, a Adobe disse que corrigiu uma vulnerabilidade de Validação de Entrada Imprópria (CWE-20) que afetava o componente ServiceInputProcessor da API da Web.
Em outras palavras, ele permite que solicitações de API maliciosas e validadas incorretamente contornem os controles de segurança. Os pesquisadores o apelidaram de SessionReaper.
A falha mais grave de todos os tempos
O bug agora é rastreado como CVE-2025-54236 e recebeu uma pontuação de gravidade de 9,1/10 (crítica) no Banco de Dados Nacional de Vulnerabilidades (NVD).
As versões vulneráveis ??incluem 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 e anteriores, diz a página do NVD.
Um invasor bem-sucedido pode se aproveitar disso para obter o controle da sessão, aumentando a confidencialidade e o impacto na integridade. A exploração desse problema não requer interação do usuário. Os clientes do Adobe Commerce on Cloud são protegidos por um firewall de aplicativo web (WAF), confirmou a empresa.
A empresa diz que não tem conhecimento de nenhuma exploração em andamento, mas, de acordo com o BleepingComputer , descreve-a como a falha “mais grave” da história da plataforma.
Um patch foi lançado em 9 de setembro, e os clientes são incentivados a aplicá-lo sem demora. “Apliquem o hotfix o mais rápido possível. Se não o fizerem, ficarão vulneráveis ??a esse problema de segurança, e a Adobe terá recursos limitados para ajudar a remediá-lo”, alertou a Adobe.
Embora não haja evidências de abuso em campo, a empresa de segurança Sansec disse que o hotfix inicial para o SessionReaper vazou há alguns dias, o que pode permitir que agentes mal-intencionados façam engenharia reversa e encontrem brechas adicionais para explorar, informou o BleepingComputer .
Ao mesmo tempo, alguns pesquisadores acreditam que a implantação da correção pode solucionar alguns problemas de código externo, já que ela desabilita certas funcionalidades do Magento.
Sprunki Incredibox is a brilliant evolution of the original, offering fresh beats and visuals while keeping it easy to play. A must-try for fans – check out Sprunki for the full creative experience.