Vulnerabilidad crítica en Adobe Commerce (CVE-2025-54236) permite secuestro remoto de sesiones
Introducción
El panorama de la ciberseguridad en el sector del comercio electrónico vuelve a verse sacudido por la aparición de una vulnerabilidad crítica: CVE-2025-54236, que afecta a Adobe Commerce, anteriormente conocido como Magento. Esta plataforma, ampliamente utilizada por empresas de todos los tamaños para operar sus tiendas online, se convierte así en objetivo prioritario para atacantes que buscan comprometer transacciones, robar información sensible y causar daños reputacionales y económicos de gran calado. En este artículo, se desglosan los aspectos técnicos y el impacto de esta amenaza, así como las recomendaciones para mitigar el riesgo.
Contexto del Incidente o Vulnerabilidad
Adobe Commerce/Magento es una de las soluciones de comercio electrónico más populares, con más de 250.000 tiendas activas a nivel global. La complejidad inherente a su arquitectura, sumada a la gran cantidad de extensiones de terceros y personalizaciones, la convierte en una plataforma históricamente atractiva para atacantes.
El pasado 10 de junio de 2024, Adobe publicó un aviso de seguridad referente a la vulnerabilidad CVE-2025-54236, catalogada con una puntuación CVSSv3 de 9.8 (crítica). La debilidad permite el secuestro remoto de sesiones de usuario sin necesidad de autenticación previa, facilitando el acceso a información sensible, la manipulación de operaciones y el despliegue de cargas maliciosas en entornos comprometidos.
Detalles Técnicos
CVE-2025-54236 reside en el manejo insuficiente de tokens de sesión y la validación de cabeceras HTTP en el módulo de autenticación de Adobe Commerce. El fallo afecta a todas las versiones de Adobe Commerce y Magento Open Source hasta la 2.4.8 inclusive.
Vector de ataque: El atacante puede explotar esta debilidad enviando peticiones HTTP especialmente manipuladas, aprovechando la gestión insegura de cookies de sesión y la ausencia de comprobaciones robustas de integridad.
– TTP MITRE ATT&CK relevantes:
– T1078 (Account Manipulation)
– T1556 (Modify Authentication Process)
– T1185 (Browser Session Hijacking)
– Indicadores de compromiso (IoC):
– Cambios inesperados en cookies de sesión
– Acceso anómalo a cuentas administrativas
– Presencia de scripts o payloads inyectados en formularios de autenticación
Exploits conocidos: Desde la publicación del aviso, ya circulan pruebas de concepto en foros underground, y se han detectado módulos de explotación para frameworks como Metasploit y Cobalt Strike. Estos exploits permiten el secuestro automatizado de sesiones y la escalada de privilegios hacia cuentas administrativas.
Impacto y Riesgos
El impacto potencial es extremadamente grave:
– Secuestro de sesiones de usuarios y administradores
– Robo de información personal y financiera (PII, tarjetas de crédito, historiales de compra)
– Manipulación y fraude en pedidos y transacciones
– Implantación de web shells y backdoors para persistencia
– Riesgo de incumplimiento de normativas como GDPR y NIS2, con multas de hasta el 4% de la facturación anual
– Daños reputacionales y pérdida de confianza de los clientes
Según estimaciones de Adobe, más del 60% de las instancias de Magento siguen expuestas debido a la lentitud en la aplicación de parches, lo que eleva el riesgo de ataques masivos y automatizados.
Medidas de Mitigación y Recomendaciones
Adobe ha lanzado actualizaciones de emergencia para las versiones afectadas (2.4.9 y superiores). Se recomienda:
– Aplicar los parches de seguridad de inmediato.
– Monitorizar logs de acceso y eventos de autenticación en busca de patrones anómalos.
– Invalidad todas las sesiones activas tras la actualización para evitar persistencia de accesos comprometidos.
– Revisar la configuración de cookies (Secure, HttpOnly, SameSite) y reforzar el control de cabeceras.
– Implementar MFA (autenticación multifactor) para todos los accesos administrativos.
– Realizar auditorías de seguridad periódicas y pruebas de intrusión específicas sobre la gestión de sesiones.
Opinión de Expertos
Javier Linares, CISO de una consultora líder en e-commerce, advierte: “La explotación de CVE-2025-54236 puede automatizarse a gran escala con herramientas conocidas, lo que multiplica el peligro para organizaciones que no tienen un ciclo robusto de gestión de vulnerabilidades. La rapidez en la aplicación de parches y la monitorización proactiva son esenciales”.
Por su parte, el equipo de investigación de ThreatLabZ destaca que “la aparición de exploits públicos acelera la ventana de exposición y reduce el tiempo de reacción para los equipos de seguridad, por lo que la compartición de IoC y la colaboración entre operadores SOC es clave”.
Implicaciones para Empresas y Usuarios
Para las empresas, esta vulnerabilidad supone no solo un riesgo técnico sino también legal y financiero. La exposición de datos personales puede desembocar en investigaciones regulatorias y sanciones bajo GDPR o la inminente directiva NIS2. Además, la pérdida de confianza de los consumidores puede traducirse en caídas de hasta el 30% en las ventas online tras un incidente grave.
Los usuarios finales, por su parte, están expuestos a robo de información, fraudes y suplantaciones de identidad. Se recomienda cambiar contraseñas y monitorizar movimientos bancarios si han interactuado recientemente con tiendas afectadas.
Conclusiones
CVE-2025-54236 representa una de las amenazas más serias para el ecosistema Adobe Commerce/Magento en los últimos años. La criticidad del fallo, la disponibilidad de exploits y el alto grado de exposición obligan a las organizaciones a adoptar una postura reactiva y defensiva inmediata. La gestión ágil de parches, la implementación de buenas prácticas de autenticación y la vigilancia continua serán determinantes para contener este riesgo.
(Fuente: www.darkreading.com)