CibersegurançaNotícias

CVE-2025-54236: Falha crítica no Adobe Commerce (Magento)

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Adobe
Imagem: Bleeping Computer

Uma falha crítica apelidada de SessionReaper ameaça lojas Magento. Saiba como identificar o risco e se proteger agora.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-54236 e apelidada de SessionReaper, está colocando em risco milhares de lojas online que utilizam Adobe Commerce e Magento Open Source. Com uma pontuação CVSS de 9.1, essa falha permite que invasores assumam o controle total de contas de clientes, expondo informações sensíveis e colocando em xeque a segurança de todo o ecossistema de e-commerce baseado nessas plataformas.

Conteúdo

A vulnerabilidade foi descoberta pela empresa de segurança Sansec, que classificou a falha como uma das mais graves já encontradas na história do Magento, comparável a incidentes de grande impacto como o Shoplift e o TrojanOrder. A Adobe já lançou correções, mas a urgência em aplicar os patches não pode ser subestimada.

Neste artigo, vamos explicar de forma acessível o que é a falha SessionReaper, quais versões estão afetadas, o impacto real para lojas online e quais ações imediatas devem ser tomadas para corrigir o problema e evitar que ele seja explorado.

profissionais-estao-indignados-com-a-mudanca-nos-termos-e-condicoes-da-adobe

O que é a vulnerabilidade CVE-2025-54236, a ‘SessionReaper’?

A CVE-2025-54236 é uma falha de validação de entrada imprópria. Em termos simples, isso significa que o sistema não verifica corretamente certos dados fornecidos por usuários ou aplicativos externos, permitindo que invasores manipulem a aplicação de forma inesperada.

Segundo a Sansec, o ataque acontece quando um criminoso cria uma sessão maliciosa e explora um bug de desserialização na API REST do Magento/Adobe Commerce. Traduzindo: a falha permite que dados manipulados sejam aceitos pelo sistema como válidos, possibilitando que o atacante assuma sessões legítimas de clientes.

Na prática, isso significa que o invasor pode sequestrar contas de usuários, acessando informações confidenciais e até mesmo realizando compras fraudulentas em nome das vítimas.

Quais versões do Adobe Commerce e Magento estão em risco?

A lista de versões afetadas é extensa. Todas as lojas que utilizam as versões abaixo estão vulneráveis caso ainda não tenham aplicado os patches oficiais.

Adobe Commerce

  • 2.4.7-p1 e anteriores
  • 2.4.6-p5 e anteriores
  • 2.4.5-p7 e anteriores
  • 2.4.4-p8 e anteriores

Adobe Commerce B2B

  • 2.4.7-p1 e anteriores
  • 2.4.6-p5 e anteriores
  • 2.4.5-p7 e anteriores
  • 2.4.4-p8 e anteriores

Magento Open Source

  • 2.4.7-p1 e anteriores
  • 2.4.6-p5 e anteriores
  • 2.4.5-p7 e anteriores
  • 2.4.4-p8 e anteriores

Módulo Serializable Custom Attributes

  • Todas as versões até a correção lançada em setembro de 2025

O impacto real: Por que o ‘SessionReaper’ é tão perigoso?

Embora a consequência imediata seja o sequestro de contas de clientes, os impactos vão muito além:

  • Acesso a dados pessoais como nomes, endereços e históricos de compras.
  • Compras fraudulentas realizadas diretamente nas contas comprometidas.
  • Perda de confiança dos consumidores, que pode levar a uma queda brusca nas vendas.
  • Danos irreparáveis à reputação da marca, especialmente em um mercado tão competitivo como o de e-commerce.

A Sansec destacou que essa falha está no mesmo patamar de vulnerabilidades históricas como Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) e CosmicSting (2024), todas com grande impacto na comunidade Magento.

Ação imediata: Como proteger sua loja agora mesmo

O tempo é um fator crítico para mitigar os riscos da CVE-2025-54236. Segue um guia prático de ação:

Passo 1: Identifique sua versão

Verifique imediatamente qual versão do Adobe Commerce ou Magento Open Source sua loja utiliza. Essa informação pode ser encontrada no painel de administração ou na documentação do servidor.

Passo 2: Aplique o hotfix oficial

A Adobe já disponibilizou patches de correção (hotfixes) para todas as versões afetadas. É imprescindível aplicar a atualização imediatamente para neutralizar a ameaça.

Passo 3: Para usuários da nuvem

Se sua loja roda no Adobe Commerce Cloud, a empresa já implementou regras de firewall (WAF) para bloquear ataques conhecidos. Ainda assim, a atualização da plataforma é a medida mais segura para garantir a proteção.

Conclusão: A lição contínua da segurança no e-commerce

A vulnerabilidade CVE-2025-54236 (SessionReaper) é um lembrete claro de que a segurança no e-commerce deve ser prioridade contínua. A exploração dessa falha pode resultar em perdas financeiras, danos à reputação e, principalmente, na quebra da confiança do consumidor.

Se você administra uma loja online baseada em Adobe Commerce ou Magento Open Source, a mensagem é simples e urgente: verifique sua versão agora, aplique as correções imediatamente e reforce seus mecanismos de segurança.

Compartilhe este alerta com sua equipe técnica e outros profissionais da área para ampliar o alcance da informação e ajudar a reduzir o impacto dessa ameaça crítica.

TAGGED:
Compartilhe este artigo
Artigo anterior Samsung Galaxy S26 Ultra Vazamento do Galaxy S26 Ultra: Câmera gigante em corpo f?
Próximo artigo Google AI Plus Google AI Plus: O Plano com Gemini 2.5 Pro e 200GB
GoogleNotícias

Google AI Plus: O Plano com Gemini 2.5 Pro e 200GB

Google AI Plus

Conheça o novo plano de IA do Google que une o poder do Gemini 2.5 Pro com 200 GB de armazenamento, projetado para o Brasil.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto