A Adobe lançou esta terça-feira uma correção de emergência para uma vulnerabilidade de segurança crítica que afeta as suas plataformas Adobe Commerce e Magento Open Source. A falha, batizada de "SessionReaper" por investigadores, é considerada uma das mais graves na história destes produtos de e-commerce.
Identificada como CVE-2025-54236, a vulnerabilidade permite que um atacante, sem necessidade de se autenticar, consiga contornar as funcionalidades de segurança e tomar o controlo total de contas de clientes através da API REST da plataforma.
O risco de ataques em massa e a corrida contra o tempo
O cenário é particularmente preocupante porque, segundo a empresa de segurança Sansec, uma correção preliminar para a falha foi divulgada na semana passada. Esta fuga de informação pode dar aos cibercriminosos uma vantagem significativa na criação de um código de exploração (exploit) antes que todos os administradores de lojas online consigam aplicar a proteção oficial.
Embora a Adobe afirme não ter conhecimento de qualquer exploração ativa até ao momento, a Sansec antecipa que a falha venha a ser abusada de forma automatizada e em grande escala. Os investigadores colocam a SessionReaper ao nível de outras vulnerabilidades históricas do Magento, como a CosmicSting e a Shoplift, que no passado foram usadas para falsificação de sessões, escalada de privilégios e até execução de código malicioso nos servidores.
A exploração da falha parece depender da configuração padrão da plataforma, que armazena os dados de sessão no sistema de ficheiros, uma prática comum na maioria das instalações.
A solução: atualização imediata é obrigatória
A Adobe apela a todos os administradores para que testem e apliquem o patch de segurança imediatamente. A empresa já implementou uma regra de proteção na sua firewall de aplicação web (WAF) como medida de mitigação para os clientes que utilizam o Adobe Commerce na nuvem, mas a atualização continua a ser indispensável para todos.
"Por favor, aplique o hotfix o mais rapidamente possível. Se não o fizer, ficará vulnerável a este problema de segurança, e a Adobe terá meios limitados para ajudar a remediar a situação", alerta a empresa no seu comunicado.
É importante notar que a correção desativa certas funcionalidades internas do Magento, o que pode potencialmente causar problemas em código personalizado ou extensões de terceiros. A Adobe disponibilizou documentação atualizada para ajudar os programadores a adaptarem-se a estas mudanças. Dada a gravidade da vulnerabilidade, a aplicação da correção é a prioridade máxima para proteger as lojas online e os dados dos seus clientes.
Nenhum comentário
Seja o primeiro!