← volver
CVE-2025-54236

Adobe Commerce | Improper Input Validation (CWE-20)

CVSS 9.1 CRITICALEPSS 96.7%● KEVCWE-20
En resumen

Adobe Commerce tiene una falla que no valida adecuadamente las entradas del usuario, permitiendo que los atacantes secuestren sesiones de clientes o administradores sin ninguna acción del usuario. Esto da a los atacantes acceso total a cuentas y datos sensibles.

Detalle técnico

La validación impropia de entrada en versiones afectadas de Adobe Commerce (2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 y anteriores) permite el secuestro de sesión no autenticado. La vulnerabilidad permite a los atacantes crear entradas malformadas que eludan controles de validación, resultando en establecimiento de sesión no autorizado sin requerir interacción del usuario, con alto impacto en confidencialidad e integridad.

Resumen generado y traducido por IA a partir de la descripción oficial.
Adobe Commerce versions 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 and earlier are affected by an Improper Input Validation vulnerability. A successful attacker can abuse this to achieve session takeover, increasing the confidentiality, and integrity impact to high. Exploitation of this issue does not require user interaction.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Productos afectados
Adobe · Adobe Commerce
PoCs públicas encontradas7
githubgithub.com/wubinworks/magento2-session-reaper-patch3githubgithub.com/alexb616/SessionReaper-CVE-2025-542361githubgithub.com/Baba01hacker666/cve-2025-542360githubgithub.com/amalpvatayam67/day01-sessionreaper-lab0githubgithub.com/brito101/session_reaper_lab0githubgithub.com/Jenderal92/magento-upload-auto-submit-zoneh0cve_referencenullsecurityx.codes/cve-2025-54236-sessionreaper-unauthenticated-rce-in-magentono verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://experienceleague.adobe.com/en/docs/experience-cloud-kcs/kbarticles/ka-27397https://helpx.adobe.com/security/products/magento/apsb25-88.htmlhttps://nullsecurityx.codes/cve-2025-54236-sessionreaper-unauthenticated-rce-in-magentohttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-54236