Nowa fala ataków na sklepy Magento — luka SessionReaper aktywnie wykorzystywana

Hakerzy masowo atakują sklepy oparte na Magento i Adobe Commerce, wykorzystując krytyczną lukę SessionReaper (CVE-2025-54236), która umożliwia zdalne przejęcie kont i wgranie backdoora.

Ponad 250 sklepów Magento i Adobe Commerce zostało zaatakowanych w ciągu ostatnich 24 godzin — ostrzega firma Sansec. Hakerzy masowo wykorzystują nową lukę CVE-2025-54236, znaną jako SessionReaper, która umożliwia zdalne wykonanie kodu (RCE) i przejęcie kont klientów przez Commerce REST API.

Choć Adobe wydało łatkę już sześć tygodni temu, aż 62% sklepów nadal pozostaje podatnych. Luka ma wysoki CVSS 9.1 i opiera się na błędzie niewłaściwej walidacji danych wejściowych, prowadzącym do zagnieżdżonej deserializacji. W praktyce pozwala to napastnikowi przesłać PHP-backdoora pod pozorem pliku sesji – najczęściej przez endpoint
/customer/address_file/upload.

Ataki pochodzą m.in. z adresów IP:
34.227.25.4, 44.212.43.34, 54.205.171.35, 155.117.84.134, 159.89.12.166.

Eksperci ostrzegają, że w sieci krążą już publiczne exploity i proof-of-concepty, więc fala automatycznych ataków to kwestia godzin. Sansec porównuje SessionReapera do wcześniejszych krytycznych podatności, takich jak CosmicSting (2024), TrojanOrder (2022) czy legendarnego Shoplift (2015) – wszystkie doprowadziły do tysięcy przejętych sklepów.

Co robić?

  • Natychmiast zainstaluj łatkę lub zaktualizuj Adobe Commerce / Magento do najnowszej wersji.
  • Jeśli nie możesz, uruchom WAF (Web Application Firewall).
  • Sprawdź system pod kątem kompromitacji – np. za pomocą narzędzia eComscan.

Źródła:
Sansec
The Hacker News

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps