SessionReaper en Magento (CVE-2025-54236): qué es, quién está afectado y cómo parchearlo ya

Si usas Magento Open Source o Adobe Commerce, esto te interesa y no es de “mañana lo veo”. SessionReaper es una vulnerabilidad crítica (CVSS 9.1) que permite toma de cuentas vía la REST API y, bajo ciertas condiciones, puede derivar en RCE no autenticado. Adobe publicó un parche fuera de calendario el 9 de septiembre de 2025.

Resumen rápido: por qué SessionReaper es crítica (CVSS 9.1)

• Identificador: CVE-2025-54236, apodada SessionReaper. Impacto base: bypass de seguridad → account takeover sin interacción del usuario. Centro de Ayuda de Adobe+1
• Vector: error de validación de entrada en la Web API (ServiceInputProcessor) que permite peticiones mal formadas que pasan los controles previstos. Centro de Ayuda de Adobe
• Estado de explotación: a fecha 12–16 de septiembre de 2025, Adobe no reporta explotación activa; aun así, hubo filtración previa de un hotfix, lo que eleva el riesgo de ingeniería inversa y automatización del ataque. Centro de Ayuda de Adobe+1
• Severidad histórica: varios expertos la sitúan entre las más serias en Magento (a la altura de Shoplift, Ambionics SQLi, TrojanOrder o CosmicSting). The Hacker News

Qué debes hacer ya: aplicar el hotfix oficial (APSB25-88) y validar tu almacenamiento de sesiones. Te dejo guías paso a paso más abajo.

Versiones afectadas y alcance (Magento Open Source, Adobe Commerce y B2B)

Adobe lista como afectadas (resumen de ramas):

• Adobe Commerce & Magento Open Source: 2.4.9-alpha2 y anteriores, 2.4.8-p2 y anteriores, 2.4.7-p7 y anteriores, 2.4.6-p12 y anteriores, 2.4.5-p14 y anteriores, 2.4.4-p15 y anteriores.
• Adobe Commerce B2B: ramas 1.5.3-alpha2 y anteriores, 1.5.2-p2 y anteriores, 1.4.2-p7 y anteriores, 1.3.4-p14 y anteriores, 1.3.3-p15 y anteriores.
• Módulo Custom Attributes Serializable: 0.1.0 a 0.4.0.
  Aplica también a despliegues Cloud y on-prem. Centro de Ayuda de Adobe+2experienceleague.adobe.com+2

Traducción práctica: casi todo el ecosistema 2.4.x está en alcance. Si tu stack está en 2.4.4–2.4.8 (muy común), estás dentro y debes actuar.

La raíz es un CWE-20 (validación de entrada) en la Web API: ciertas estructuras anidadas pasan sin el tipado/chequeos esperados. Resultado: un atacante no autenticado puede forjar acciones de sesión y apropiarse de cuentas vía REST (y potencialmente GraphQL/SOAP que comparten ruta lógica). Centro de Ayuda de Adobe+1

Sansec, equipo con foco en e-commerce, reprodujo al menos un vector y sugiere paralelismos con CosmicSting. Lo relevante para ti: no necesitas PoC para mitigar, solo seguir el plan de parcheo y endurecimiento que verás abajo.

Riesgos reales: toma de cuentas y cuándo podría derivar en RCE

• Account Takeover (ATO): es el impacto reconocido oficialmente por Adobe y NVD. Con ATO, un atacante puede acceder a datos personales, historial de pedidos y potencialmente iniciar acciones en nombre del cliente. Centro de Ayuda de Adobe+1
• ¿RCE no autenticado? Sansec advierte que bajo condiciones específicas el fallo puede escalar a RCE, en particular si tu almacenamiento de sesiones es “file-based” (el valor por defecto en muchos Magento). Si usas Redis o base de datos reduces superficie, pero no es una excusa para no parchear. Sansec

Moraleja: parche + sesiones endurecidas. No te quedes solo en WAF.

¿Soy vulnerable? Comprobaciones básicas (versión, tipo de sesión, WAF)

1. Versión exacta
   • Saca tu 2.4.x y sub-parches aplicados. Si estás en cualquiera de las ramas listadas en “Versiones afectadas”, sí, eres vulnerable hasta aplicar el hotfix. Centro de Ayuda de Adobe
2. Tipo de almacenamiento de sesión
   • Revisa tu app/etc/env.php (clave session => save).
     • Si ves files, tu sesión vive en disco (/var/session). Valora migrar a Redis o DB como parte del endurecimiento. Sansec
3. WAF
   • En Adobe Commerce on Cloud, Adobe desplegó reglas WAF para cortar intentos mientras aplicas el parche, pero no sustituyen el hotfix. experienceleague.adobe.com
4. Módulos en alcance
   • Si usas B2B o el módulo Custom Attributes Serializable, asegúrate de seguir las indicaciones específicas de actualización. experienceleague.adobe.com

Mitigación inmediata: hotfix de Adobe, WAF y endurecimiento de sesiones

A. Aplica el hotfix APSB25-88

• Adobe publicó VULN-32437-2-4-X-patch con instrucciones en Experience League. Pruébalo primero en staging, asegúrate de que tus integraciones (ERP, pasarela, PIM) siguen funcionando y luego promuévelo a producción con ventana de mantenimiento. experienceleague.adobe.com

B. WAF como cinturón de seguridad

• Si estás en Commerce on Cloud, las reglas WAF ya están activas, pero no te dan carta blanca para demorar el parche. En on-prem, activa/actualiza tu WAF (Fastly, equivalente) con reglas específicas para la Web API. experienceleague.adobe.com

C. Endurece sesiones

• Si usas file-based sessions, planifica migración a Redis (recomendado en catálogos de alto tráfico). Esta medida reduce vectores que combinan manipulación de sesión con bugs de serialización/entrada. Sansec

Plan seguro de despliegue del parche (pre, durante y post)

Pre (checklist)

• Inventario: versión exacta de core y módulos (B2B, Custom Attributes Serializable). experienceleague.adobe.com
• Backups verificados (BD + media + app/etc + vendor).
• Congela cambios en CI/CD.
• Pre-tests: carrito, checkout, pasarelas, login, API de integraciones.

Durante

• Aplica VULN-32437-2-4-X-patch siguiendo guía de Adobe.
• Limpia cachés, reindexa y valida logs de excepción. experienceleague.adobe.com
• Si algo rompe, no reviertas a ciegas: prioriza feature toggles de integraciones y consulta la guía de cambios en constructor de la REST API que Adobe actualizó. BleepingComputer

Post (validación y hardening)

• Comprueba que el hotfix consta como aplicado (Quality Patches Tool / estado de parches). experienceleague.adobe.com
• Revisa autenticación y flujos críticos (login, reset, checkout).
• Activa alertas sobre picos en 401/403 y errores 5xx en endpoints API.
• Considera rotar la crypt key si migraste sesiones o detectaste anomalías. Sansec

Señales de compromiso y qué revisar tras aplicar el parche

• Anomalías en sesiones: muchos logins desde pocas IPs, tokens reusados, compras no autorizadas.
• Patrones de scraping/automatización: ráfagas contra endpoints REST típicos de customer/account.
• Ficheros sospechosos si usabas sesiones en disco y tenías webshells previos: compara integridad.
• Errores API tras el hotfix**:** revisa integraciones externas que envían objetos anidados o tipos dinámicos (el parche endurece validaciones). BleepingComputer

Preguntas frecuentes (FAQs)

¿Hay exploit activo?
Adobe reporta sin evidencia pública de explotación a 12–16 de septiembre, pero el filtrado temprano de un hotfix acorta la ventana de desarrollo de exploits. Parchea igualmente. Centro de Ayuda de Adobe+1

¿Me salva el WAF?
Ayuda a mitigar intentos, especialmente en Commerce on Cloud, pero no sustituye el hotfix. experienceleague.adobe.com

Uso Redis para sesiones, ¿sigo en riesgo?
Reducirás ciertas condiciones relacionadas con RCE, pero el ATO sigue siendo el impacto oficial → parche obligatorio. Centro de Ayuda de Adobe+1

¿Qué ramas exactas debo revisar?
Cubre todas las 2.4.4–2.4.9 (alpha) y sus parches; además, B2B 1.3.x–1.5.x y el módulo Custom Attributes Serializable 0.1.0–0.4.0. Centro de Ayuda de Adobe+1

Conclusión

SessionReaper es de las vulnerabilidades que no se negocian: afecta a la mayoría de instalaciones 2.4.x, abre la puerta a toma de cuentas y, si te pilla con sesiones en disco, aumenta el riesgo de RCE. La receta es simple y efectiva: hotfix + WAF + sesiones endurecidas + verificación post-parche. Si cierras este ciclo hoy, te ahorras el dolor de cabeza de mañana. Centro de Ayuda de Adobe+1