Kritische Sicherheitslücke in Adobe Commerce und Magento erfordert dringende Updates
Seit September 2023 stehen Updates zur Behebung einer kritischen Sicherheitslücke in Adobe Commerce und Magento-Shops bereit, deren Dringlichkeit aufgrund neuer Entwicklungen weiter gestiegen ist. Das Unternehmen bestätigt nun offenkundige Angriffe im Internet auf diese Schwachstelle, die zuvor nur allgemein als vorhanden angesehen wurde. Obwohl Adobe in seiner Sicherheitsmitteilung Konkretes bezüglich der Schwachstelle selbst vermeidet und sich auf abstrakte Klassifizierungen wie Common Weakness Enumeration (CWE) verlässt, wird deutlich, dass es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20) handelt, die zu einer Umgehung von Sicherheitsmechanismen führt. Die Schwachstelle wurde mit CVE-2025-54236 bezeichnet und trägt nach der Common Vulnerability Scoring System (CVSS) Bewertung eine kritische Gefährdungsstufe mit einem Wert von 9,1. Es ist bekannt, dass Angreifer durch Ausnutzen dieser Schwachstelle Sessions übernehmen können, ohne dabei auf Nutzerinteraktion angewiesen zu sein.
Tiefergehende technische Analysen belegen die Gefahr der sogenannten SessionReaper-Schwachstelle, die nun öffentlich diskutiert und untersucht wird. Diese Deserialisierungsschwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen. Dies kann zu einer Übernahme von Sessions führen oder unter bestimmten Umständen, etwa bei dateibasiertem Session-Speicher, sogar zur Ausführung von beliebigem Code aus dem Internet (Remote Code Execution, RCE). IT-Sicherheitsforscher von Sansec haben seit Mittwoch aktiv stattfindende Angriffe auf die SessionReaper-Schwachstelle dokumentiert. Fachleute betonen jedoch, dass der Schutz noch unzureichend ist, da nur 38 Prozent der betroffenen Magento- und Commerce-Shops mit den verfügbaren Updates gesichert sind.
Die Verfügbarkeit von Proof-of-Concept-Exploits im öffentlichen Raum verstärkt die Sorge vor massiven Angriffen, da Cyberkriminelle diese Werkzeuge in ihre Attacken integrieren und Netzwerke nach vulnerablen Stellen scannen werden. Derzeit bestehende Sicherheitslücken könnten schnell zum Brennpunkt für gezielte Angriffe werden. Daher mahnen Experten IT-Verantwortliche dringend an, ihre Magento- und Commerce-Shops umgehend mit den verfügbaren Aktualisierungen zu versorgen, um das Risiko von Datendiebstahl oder Systemkompromittierung zu minimieren und sich effektiv gegen die wachsende Bedrohung durch gezielte Angriffe zu schützen.
Schlagwörter: Adobe + CWE + CWE-20
Wie bewerten Sie den Schreibstil des Artikels?