Grave vulnerabilidad en Adobe Commerce y Magento permite secuestro de cuentas de clientes

Introducción

Adobe ha emitido recientemente una alerta de seguridad sobre una vulnerabilidad crítica que afecta a sus plataformas Adobe Commerce y Magento Open Source. Este fallo, identificado como CVE-2025-54236 y apodado “SessionReaper”, presenta un riesgo severo para la integridad y confidencialidad de los datos de los usuarios, permitiendo a potenciales atacantes tomar el control de cuentas de clientes. El CVSS asignado es de 9,1 sobre 10, lo que subraya la gravedad de la amenaza y la urgencia de su mitigación.

Contexto del Incidente o Vulnerabilidad

Magento, actualmente denominado Adobe Commerce, es una de las plataformas de comercio electrónico más utilizadas a nivel global, especialmente en entornos empresariales y medianas empresas. A lo largo de los años, la plataforma ha sido objetivo recurrente de ciberataques debido a su amplia adopción y a la sensibilidad de los datos que gestiona (información personal, datos bancarios, historiales de pedidos, etc.).

La vulnerabilidad CVE-2025-54236 fue identificada como un fallo de validación inadecuada de entradas, un vector recurrente en ataques dirigidos a aplicaciones web. Aunque Adobe ha declarado no tener constancia de explotaciones activas en el momento de la publicación, la naturaleza del defecto, la criticidad asignada y el historial de explotación de vulnerabilidades en Magento hacen prever una pronta integración en kits de ataque conocidos y frameworks de explotación.

Detalles Técnicos

CVE-2025-54236 corresponde a un error de validación inadecuada de entradas (improper input validation), lo que posibilita a un actor malicioso manipular sesiones activas y, potencialmente, secuestrar cuentas de clientes legítimos. La vulnerabilidad afecta a las siguientes versiones:

– Adobe Commerce: versiones 2.4.7 y anteriores.
– Magento Open Source: versiones 2.4.7 y anteriores.

El vector de ataque principal está relacionado con la manipulación de tokens de sesión y la explotación de flujos de autenticación, lo que podría permitir el acceso no autorizado a cuentas de usuario sin requerir credenciales válidas. Según los patrones MITRE ATT&CK, este tipo de vulnerabilidad se alinea principalmente con la técnica T1556 (Modify Authentication Process) y T1078 (Valid Accounts).

No se ha publicado aún un exploit público funcional en repositorios como Metasploit, aunque investigadores advierten de la existencia de pruebas de concepto circulando en canales privados. Los indicadores de compromiso (IoC) asociados incluyen la aparición de sesiones no legítimas, logs de accesos inusuales y alteraciones en los mecanismos de autenticación.

Impacto y Riesgos

La explotación exitosa de CVE-2025-54236 podría permitir a un atacante:

– Acceder a información sensible de clientes y pedidos.
– Realizar compras o movimientos fraudulentos.
– Modificar configuraciones de la tienda o de usuarios.
– Desplegar otros vectores de ataque, como web shells o backdoors, aprovechando el acceso privilegiado.

A nivel empresarial, el impacto puede suponer pérdidas económicas directas, sanciones regulatorias (por incumplimiento de GDPR en el caso de fuga de datos personales) y un importante daño reputacional. Según estimaciones del sector, brechas similares en plataformas de comercio electrónico pueden suponer costes medios de entre 50.000 y 250.000 euros por incidente, sin contar las sanciones administrativas.

Medidas de Mitigación y Recomendaciones

Adobe ha publicado parches de seguridad para las versiones afectadas. Se recomienda:

– Actualizar a Adobe Commerce/Magento Open Source 2.4.8 o superior de forma inmediata.
– Monitorizar los logs de autenticación y acceso a cuentas para detectar actividad anómala.
– Revisar las sesiones activas y forzar el cierre de todas las sesiones tras aplicar el parche.
– Implementar controles de acceso adicionales (MFA, alertas de inicio de sesión).
– Realizar auditorías de seguridad periódicas y escaneos de vulnerabilidades.

No se recomienda la aplicación de mitigaciones “manuales” o workarounds, salvo en casos extremos y bajo asesoramiento experto, dado el riesgo de dejar vectores residuales.

Opinión de Expertos

Analistas de amenazas y responsables de seguridad consultados coinciden en que la criticidad de CVE-2025-54236 radica tanto en la facilidad de explotación como en el elevado impacto potencial. “La explotación de sesiones y defectos de validación en plataformas de e-commerce es un vector clásico pero devastador, sobre todo si las empresas no cuentan con una segmentación y monitorización adecuada de sus sistemas”, señala un CISO de una consultora europea.

Penetration testers advierten que la inclusión de este fallo en frameworks como Metasploit o Cobalt Strike es cuestión de días, por lo que urge aplicar los parches antes de que se disemine un exploit funcional en la comunidad underground.

Implicaciones para Empresas y Usuarios

Las organizaciones sujetas a regulaciones como la GDPR o la directiva NIS2 deben considerar la notificación de cualquier fuga ocasionada por esta vulnerabilidad y reforzar sus controles de seguridad. Se recomienda realizar campañas de concienciación para los usuarios, especialmente administradores de tiendas, sobre la importancia de las actualizaciones y la detección temprana de actividad sospechosa.

Los usuarios finales podrían verse afectados por robo de información personal, fraudes y suplantación de identidad, por lo que se aconseja cambiar contraseñas y vigilar movimientos inusuales en sus cuentas tras la alerta.

Conclusiones

CVE-2025-54236 representa una amenaza crítica para cualquier organización que utilice Adobe Commerce o Magento Open Source. La rápida adopción de los parches de seguridad y el refuerzo de las prácticas de ciberhigiene son vitales para mitigar el riesgo. El incidente pone de manifiesto la importancia de la gestión proactiva de vulnerabilidades y la necesidad de una vigilancia continua en entornos de comercio electrónico.

(Fuente: feeds.feedburner.com)