Adobe ha pubblicato un avviso di sicurezza urgente riguardante una grave vulnerabilità che interessa Adobe Commerce e Magento Open Source. Si tratta di CVE-2025-54236, soprannominata SessionReaper, a cui è stato assegnato un punteggio CVSS di 9.1 su 10: un livello di rischio altissimo, capace di portare al completo compromesso degli account clienti attraverso il Commerce REST API.
Cos’è CVE-2025-54236 (SessionReaper)?
La vulnerabilità è stata classificata come un difetto di validazione degli input. In parole semplici, chi ha cattive intenzioni potrebbe sfruttarla per ottenere il pieno controllo sugli account degli utenti, attraverso le API REST di Adobe Commerce.
Adobe ha ribadito che si tratta di un difetto critico e che le patch vanno applicate senza esitazioni.
Prodotti e versioni interessate
La falla riguarda più versioni di Adobe Commerce, Magento Open Source e Adobe Commerce B2B, in particolare:
- Adobe Commerce: fino alla versione 2.4.9-alpha2
- Magento Open Source: fino alla versione 2.4.9-alpha2
- Adobe Commerce B2B: fino alla versione 1.5.3-alpha2
L’elenco completo delle versioni vulnerabili è disponibile nel bollettino di sicurezza Adobe.
La patch: VULN-32437-2-4-X
Per correggere la vulnerabilità, Adobe ha rilasciato una patch dedicata identificata come VULN-32437-2-4-X-patch.
L’azienda raccomanda vivamente di installarla immediatamente, perché senza questo aggiornamento i sistemi restano esposti e Adobe non potrà garantire supporto a chi non applica la patch.
Per chi utilizza il modulo Custom Attributes Serializable (versioni 0.1.0 – 0.3.0), è necessario aggiornarlo almeno alla versione 0.4.0 tramite Composer:
composer require magento/out-of-process-custom-attributes=0.4.0 --with-dependencies
Utenti Cloud e Managed Services
Gli store ospitati su Adobe Commerce Cloud sono parzialmente protetti da nuove regole WAF (Web Application Firewall) già attivate per bloccare possibili tentativi di exploit. Anche chi usa i servizi gestiti può contattare il proprio Customer Success Engineer per ricevere supporto nell’applicazione della patch.
È bene ricordare, però, che le regole WAF sono solo una mitigazione temporanea: non sostituiscono in alcun modo l’installazione della patch.
Come verificare l’applicazione della patch
Adobe consiglia di usare il Quality Patches Tool per assicurarsi che la patch sia attiva. Ad esempio, per verificare se una specifica patch come VULN-27015-2.4.7_COMPOSER.patch sia installata, basta eseguire:
vendor/bin/magento-patches -n status | grep “27015|Status”
Se la patch risulta Applied, significa che è stata applicata con successo.
Cosa fare subito
Chi gestisce un sito su Magento o Adobe Commerce deve:
- Applicare la patch VULN-32437-2-4-X senza ritardi
- Aggiornare il modulo Custom Attributes Serializable alla versione 0.4.0 o successiva
- Verificare l’applicazione della patch con gli strumenti consigliati da Adobe
- Consultare il supporto Adobe o il proprio Customer Success Engineer in caso di dubbi
Adobe ha reso disponibili istruzioni e aggiornamenti nel suo bollettino ufficiale di sicurezza.
Conclusione
SessionReaper non è (ancora) stato sfruttato, ma il rischio è concreto e riguarda direttamente la sicurezza dei clienti e la reputazione dei merchant.
Il messaggio è chiaro: non aspettare. Installa la patch e proteggi il tuo store.