A Adobe lançou um alerta de segurança e um patch emergencial para corrigir uma falha grave em sua plataforma de e-commerce, o Adobe Commerce. A vulnerabilidade, identificada como CVE-2025-54236 e apelidada de SessionReaper, permite que invasores assumam o controle de contas de clientes sem precisar de autenticação.
A falha afeta também o Magento Open Source, utilizado por diversas lojas virtuais no mundo todo. Segundo especialistas em cibersegurança, a falha atinge a interface de programação (API REST). A brecha permite que sessões sejam sequestradas a partir de requisições maliciosas, o que representa risco direto à privacidade e segurança dos usuários. A vulnerabilidade está presente em versões entre 2.4.4 e 2.4.7 do Adobe Commerce. A empresa lançou um hotfix fora do cronograma regular para mitigar os riscos e recomenda a atualização imediata dos sistemas. Clientes que utilizam a versão em nuvem já foram protegidos com regras emergenciais aplicadas via firewall (WAF).
Pesquisadores alertam que essa falha está entre as mais severas já identificadas no Magento, comparável a incidentes como Shoplift (2015) e TrojanOrder (2022). Apesar de ainda não haver evidências de exploração ativa, o risco é elevado, especialmente após a divulgação técnica do problema. A orientação da Adobe inclui não apenas a instalação do patch, mas também o uso de ferramentas de varredura de malware e, quando necessário, a troca de chaves criptográficas. A empresa afirma que manter os sistemas atualizados é a melhor defesa contra possíveis ataques. O impacto potencial da falha é significativo, considerando o uso massivo do Adobe Commerce em lojas que processam informações sensíveis e transações financeiras.
