Adobe ha rilasciato una patch d’emergenza per correggere una vulnerabilità critica
(punteggio CVSS: 9.1) che interessa tutte le versioni di Adobe Commerce e Magento.
Il bug, denominato SessionReaper e tracciato come CVE-2025-54236,
consente la compromissione degli account clienti e, in determinati scenari, anche
l’esecuzione di codice remoto (RCE) senza autenticazione.
L’RCE (Remote Code Execution) è una delle forme più gravi di attacco: significa che un hacker può eseguire comandi e programmi direttamente sul server del negozio come se ne avesse il controllo, aprendo la porta a furti di dati, installazione di malware o completa compromissione del sito.
La gravità della falla è amplificata dal fatto che la patch, rilasciata fuori dal normale ciclo di aggiornamenti, è stata diffusa accidentalmente la settimana scorsa, offrendo agli attaccanti un vantaggio temporale nello sviluppo di exploit funzionanti.
Nel bollettino di sicurezza, Adobe indica che “un aggressore potrebbe assumere il controllo degli account dei clienti”, ma non fa alcun riferimento al rischio di esecuzione di codice remoto (RCE).
Il ricercatore che ha individuato la vulnerabilità ha invece confermato su Slack la presenza di questo rischio, mettendo in evidenza la reale portata del bug.
Una delle peggiori falle della storia di Magento
SessionReaper è già considerata tra le vulnerabilità più gravi mai emerse su Magento, al pari di exploit storici come:
- Shoplift (2015)
- Ambionics SQLi (2019)
- TrojanOrder (2022)
- CosmicSting (2024)
In tutti questi casi, migliaia di store sono stati compromessi nel giro di poche ore dalla divulgazione pubblica delle falle.
Cronologia degli eventi
- 22 agosto – Adobe valuta internamente l’applicazione di una correzione d’emergenza.
- 4 settembre – I clienti Commerce vengono avvisati in via riservata della patch imminente.
- 9 settembre – Rilascio ufficiale della patch tramite il bollettino APSB25-88.
Cosa devono fare subito i commercianti
La patch disattiva alcune funzioni interne di Magento, con possibili impatti su estensioni personalizzate o di terze parti. Adobe ha pubblicato una guida tecnica con le istruzioni di applicazione.
- Applicare immediatamente la patch (entro 24 ore).
- Se non applicabile subito, attivare un WAF (Web Application Firewall) per una protezione temporanea.
- Se la patch non è stata applicata entro le prime 24 ore:
- Eseguire uno scanner malware per rilevare segni di compromissione.
- Ruotare la chiave segreta di crittografia, che, se esposta, può consentire modifiche persistenti ai blocchi CMS.
Meccanismo dell’attacco
La falla sfrutta una combinazione tra:
- sessioni manipolate ad arte
- un bug di deserializzazione nidificata nell’API REST di Magento
Il vettore che abilita l’esecuzione di codice remoto (RCE) sembra dipendere da configurazioni in cui le sessioni vengono salvate su file. Tuttavia, anche chi utilizza Redis o database per la gestione delle sessioni deve agire con urgenza: la vulnerabilità può essere adattata e sfruttata in più varianti.
Vista la gravità della vulnerabilità, non è consigliabile attendere il normale ciclo di aggiornamenti: la protezione dei dati e dei clienti deve avvenire subito.
Il tuo sito è stato compromesso o vuoi prevenire attacchi?
Contattaci subito per assistenza immediata.
Articolo aggiornato il 10/09/2025.
