Publicado el 15 de septiembre de 2025 | Actualización de Seguridad
Adobe ha lanzado un parche de emergencia crítico para Adobe Commerce y Magento Open Source, abordando una vulnerabilidad de alta severidad que permite a atacantes no autenticados tomar el control de cuentas de clientes a través de la Commerce REST API. La vulnerabilidad, identificada como CVE-2025-54236 y conocida como «SessionReaper», ha sido catalogada con una puntuación CVSS de 9.1/10.
Detalles Técnicos de la Vulnerabilidad
La falla se clasifica como una validación inadecuada de entrada (CWE-20) que afecta directamente la API REST de Commerce. Los atacantes potenciales podrían tomar el control de cuentas de clientes sin necesidad de autenticación previa ni privilegios administrativos.
Características críticas:
- Severidad: Crítica (CVSS 9.1)
- Vector de ataque: Red (AV:N)
- Complejidad de ataque: Baja (AC:L)
- Autenticación requerida: No
- Privilegios necesarios: Ninguno
Versiones Afectadas y Solución
Productos Vulnerables:
- Adobe Commerce: 2.4.9-alpha2 y anteriores, 2.4.8-p2 y anteriores, hasta 2.4.4-p15
- Adobe Commerce B2B: 1.5.3-alpha2 y anteriores, hasta 1.3.3-p15
- Magento Open Source: 2.4.9-alpha2 y anteriores, hasta 2.4.5-p14
Acción Inmediata Requerida:
Adobe ha publicado un hotfix específico compatible con todas las versiones entre 2.4.4 – 2.4.7. Para corregir CVE-2025-54236, actualice su instalación de Adobe Commerce a la versión 2.4.9-alpha3 o posterior, o aplique cualquier parche de seguridad disponible.
Estado de Explotación
Adobe no tiene evidencia de que esta vulnerabilidad haya sido explotada activamente, sin embargo, la alta puntuación CVSS y la facilidad de explotación hacen que la aplicación del parche sea urgente.
Impacto para Desarrolladores Web y Administradores
Esta vulnerabilidad representa un riesgo significativo para:
- Tiendas de e-commerce con datos sensibles de clientes
- Desarrolladores que mantienen instalaciones de Adobe Commerce
- Administradores de sistemas responsables de la seguridad web
La naturaleza de la vulnerabilidad en la API REST significa que cualquier instalación expuesta a internet está potencialmente en riesgo.
FAQ – Preguntas Frecuentes
¿Qué es CVE-2025-54236 exactamente?
Es una vulnerabilidad crítica en Adobe Commerce y Magento Open Source que permite a atacantes no autenticados tomar control de cuentas de clientes mediante la explotación de la Commerce REST API debido a una validación inadecuada de entrada.
¿Necesito privilegios administrativos para aplicar el parche?
Sí, necesitarás acceso administrativo al servidor y la instalación de Adobe Commerce para aplicar el hotfix o actualizar a una versión segura.
¿Cuánto tiempo toma aplicar el parche?
El tiempo varía según la configuración, pero generalmente el hotfix puede aplicarse en 15-30 minutos. Se recomienda realizar la actualización durante ventanas de mantenimiento programado.
¿Afecta esto a mi sitio WordPress?
No directamente. Esta vulnerabilidad es específica de Adobe Commerce y Magento Open Source. Sin embargo, si tienes integraciones entre WordPress y Adobe Commerce, debes revisar esas conexiones.
¿Hay alguna forma de detectar si mi sitio fue comprometido?
Revisa los logs de acceso a la API REST, busca patrones inusuales de autenticación y monitorea cambios no autorizados en cuentas de clientes. Adobe no ha reportado indicadores específicos de compromiso.
¿Puedo posponer la actualización?
No se recomienda. Con una puntuación CVSS de 9.1 y la facilidad de explotación sin autenticación, este parche debe aplicarse inmediatamente.
¿Qué versión debo instalar como mínimo?
Para Adobe Commerce, actualiza a la versión 2.4.9-alpha3 o posterior. Si estás en versiones 2.4.4-2.4.7, puedes aplicar el hotfix específico proporcionado por Adobe.
¿Este parche afectará la funcionalidad de mi tienda?
Adobe ha diseñado el hotfix para ser compatible con versiones existentes. Sin embargo, siempre realiza pruebas en un entorno de staging antes de aplicar en producción.
Para más información técnica, consulta el boletín oficial APSB25-88 de Adobe.
