Se você administra ou possui uma loja virtual baseada em Adobe Commerce ou Magento, sua operação está em risco imediato. A falha Magento CVE-2025-54236, apelidada de SessionReaper, está sendo explorada ativamente por atacantes que já comprometeram mais de 250 lojas nas últimas 24 horas. A pontuação de risco é crítica (CVSS 9.1), e o cenário exige ação imediata.
Este artigo explica o que é a vulnerabilidade, seu impacto devastador — incluindo tomada de contas (account takeover) e execução remota de código (RCE) —, como os ataques estão acontecendo e, principalmente, o que você deve fazer agora para proteger sua loja.
O que é a vulnerabilidade CVE-2025-54236 (SessionReaper)?
Explicação técnica
A falha CVE-2025-54236, conhecida como SessionReaper, é uma vulnerabilidade de validação de entrada imprópria com pontuação crítica de 9.1 no CVSS. Ela está relacionada a um problema de desserialização aninhada na API REST da plataforma Magento/Adobe Commerce.
Na prática, isso significa que um invasor pode enviar dados manipulados por meio de solicitações à API para forçar o sistema a executar código malicioso. Em ambientes onde o armazenamento de sessão é baseado em arquivos, esse vetor pode resultar em execução remota de código (RCE) sem autenticação prévia.
Essa falha permite que o invasor obtenha controle direto sobre o servidor, comprometendo completamente o ambiente de e-commerce afetado.
Impacto real no e-commerce
As consequências dessa vulnerabilidade são severas. Invasores podem:
- Assumir o controle total das contas de clientes, acessando dados pessoais e históricos de compras.
- Executar código malicioso remotamente, implantando webshells PHP para manter acesso persistente ao servidor.
- Roubar informações sensíveis, modificar produtos e preços, interceptar pagamentos ou realizar compras fraudulentas.
Com esse nível de comprometimento, uma loja atacada pode sofrer perda de reputação, bloqueios de pagamento, multas por violação de dados e até mesmo interrupção completa das operações.
Como o ataque funciona
A campanha de ataque atual explora a API REST do Magento, especificamente o endpoint /customer/address_file/upload. Por meio dele, os invasores fazem upload de arquivos maliciosos (como backdoors PHP) que exploram o processo de desserialização.
Após o upload, o invasor pode manipular as sessões de usuários, se passar por clientes legítimos e executar comandos arbitrários no servidor. Essa abordagem automatizada tem permitido ataques em larga escala, com centenas de lojas comprometidas em questão de horas.
O alarme soou: 62% das lojas Magento ainda estão vulneráveis
O alerta da Sansec
A empresa de segurança Sansec, especializada em e-commerce, identificou uma onda crescente de ataques utilizando o SessionReaper. O relatório mais recente mostra que, mesmo após o lançamento do patch de correção, 62% das lojas ainda não aplicaram a atualização e permanecem vulneráveis.
Nos últimos dias, mais de 250 lojas foram confirmadamente comprometidas, com aumento constante de novas infecções. O cenário indica uma exploração coordenada e automatizada, partindo de múltiplas origens ao redor do mundo.
O perigo da demora
O dado mais preocupante é o atraso na aplicação dos patches. A vulnerabilidade foi corrigida pela Adobe há mais de seis semanas, mas a maioria das lojas afetadas ainda opera com versões desatualizadas.
Com a publicação de exploits e provas de conceito (PoCs) em fóruns de segurança, o número de ataques tende a crescer exponencialmente nos próximos dias. Cada hora sem atualização aumenta o risco de invasão e perda total de controle sobre a loja.
Um histórico preocupante: CosmicSting e a urgência dos patches
Contexto de segurança
O caso do SessionReaper segue um padrão recorrente na segurança da plataforma Magento. Em 2024, a falha CosmicSting (CVE-2024-34102) também foi amplamente explorada e afetou milhares de lojas ao redor do mundo.
Esses incidentes revelam uma tendência: a demora em aplicar correções críticas é o principal vetor de exploração. Assim como na época da CosmicSting, os atacantes se aproveitam da divulgação pública dos detalhes técnicos para automatizar a exploração em massa.
Provas de conceito (PoCs) estão públicas
Com a divulgação dos detalhes técnicos e a publicação de exploits funcionais, já existem scripts capazes de explorar a falha CVE-2025-54236 sem grandes ajustes. Isso coloca todas as lojas desatualizadas em risco imediato.
Especialistas alertam que o número de tentativas de exploração aumentará rapidamente, à medida que kits de ataque forem incorporados a ferramentas automatizadas de varredura e ataque a e-commerces.
Como proteger sua loja Adobe Commerce ou Magento imediatamente
Ação mandatória
A prioridade absoluta é aplicar o patch de segurança oficial da Adobe. A correção foi disponibilizada no início de setembro e elimina completamente a vulnerabilidade.
Administradores devem:
- Atualizar para a versão mais recente do Adobe Commerce ou Magento compatível com seu ambiente.
- Aplicar o hotfix específico liberado pela Adobe para o CVE-2025-54236.
- Confirmar, após a atualização, que a versão do sistema não consta na lista de builds vulneráveis.
Verificação e mitigação
Além da atualização, é essencial:
- Verificar logs de servidor em busca de requisições suspeitas para o endpoint
/customer/address_file/upload. - Examinar diretórios temporários e de upload para detectar arquivos PHP desconhecidos ou modificados recentemente.
- Revisar configurações de sessão e, se possível, evitar armazenamento baseado em arquivos (optando por Redis ou banco de dados).
- Utilizar um Web Application Firewall (WAF) como camada adicional de defesa, capaz de bloquear tentativas conhecidas de exploração.
- Alterar senhas administrativas e chaves secretas se houver indícios de invasão.
Conclusão: Não espere ser o próximo
A falha Magento CVE-2025-54236 é uma ameaça ativa, real e amplamente explorada. Com mais de 250 lojas já comprometidas e uma taxa alarmante de sistemas desatualizados, o risco é imediato.
Cada minuto sem correção é uma oportunidade para invasores assumirem o controle de sua loja e explorarem seus dados e os de seus clientes.
A hora de agir é agora. Verifique a versão da sua plataforma e aplique a correção de segurança da Adobe imediatamente para proteger seu e-commerce e manter a confiança dos seus clientes.
