{"id":11106,"date":"2025-10-23T16:14:57","date_gmt":"2025-10-23T22:14:57","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11106"},"modified":"2025-10-23T16:16:51","modified_gmt":"2025-10-23T22:16:51","slug":"alerta-2025-92-vulnerabilidad-critica-adobe-commerce-magento","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-92-vulnerabilidad-critica-adobe-commerce-magento\/","title":{"rendered":"Alerta 2025-92 Vulnerabilidad cr\u00edtica Adobe Commerce \/ Magento"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Adobe Commerce \/ Magento Open Source<\/strong>:<ul><li>2.4.9-alpha2 y anteriores;<\/li><\/ul><ul><li>2.4.8-p2 y anteriores; 2.4.7-p7 y anteriores;<\/li><\/ul><ul><li>2.4.6-p12 y anteriores; 2.4.5-p14 y anteriores;<\/li><\/ul>\n<ul class=\"wp-block-list\">\n<li>2.4.4-p15 y anteriores.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Recientemente, el equipo de seguridad de Adobe identific\u00f3 la <strong>CVE-2025-54236<\/strong>, apodada <em>SessionReaper<\/em>, una vulnerabilidad de Improper Input Validation en el componente ServiceInputProcessor del Web API \/ Commerce REST API de Adobe Commerce \/ Magento. Adobe public\u00f3 un bolet\u00edn y un hotfix el 9 de septiembre de 2025, clasificando esta vulnerabilidad con una severidad cr\u00edtica de CVSS 9.1, ya que permite el secuestro de sesiones de cuentas de clientes sin interacci\u00f3n del usuario al permitir solicitudes API especialmente formadas que evaden las validaciones y controles de seguridad previstos.<\/p>\n\n\n\n<p>La ra\u00edz del problema est\u00e1 en la validaci\u00f3n insuficiente de entradas (posibles casos de nested deserialization y procesamiento anidado en entradas del API) que permiten modificar el flujo de sesi\u00f3n o inyectar par\u00e1metros que permiten suplantar\/recuperar sesiones. Desde su publicaci\u00f3n se han reportado explotaciones y actividad maliciosa contra tiendas Magento\/Adobe Commerce, como ataques masivos y cuentas comprometidas, por lo que el riesgo operativo para comercios en producci\u00f3n es alto y la ventana de exposici\u00f3n es real mientras existan instancias sin parchear. Adem\u00e1s, se han publicado PoC experimentales que muestran m\u00e9todos de explotaci\u00f3n tanto en LAN como con t\u00e9cnicas de coacci\u00f3n de conexi\u00f3n a distancia.<\/p>\n\n\n\n<p>En M\u00e9xico se identifican casi 400 sitios de comercio electr\u00f3nico que utilizan Adobe Commerce (Magento), muchos de ellos operando tiendas en l\u00ednea activas y potencialmente expuestas si no han aplicado los parches m\u00e1s recientes frente a esta vulnerabilidad.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"780\" height=\"271\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/10\/image.jpeg\" alt=\"\" class=\"wp-image-11107\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/10\/image.jpeg 780w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/10\/image-300x104.jpeg 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/10\/image-768x267.jpeg 768w\" sizes=\"(max-width: 780px) 100vw, 780px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-center\"><em>Comercios electr\u00f3nicos utilizando AdobeCommerce (Magento)<\/em> <em>en M\u00e9xico<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Recomendaciones:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Bloquear el acceso al Commerce REST API<\/strong> desde Internet (si la tienda no lo requiere p\u00fablicamente) o limitarlo mediante ACLs \/ IP allowlists.<\/li>\n\n\n\n<li><strong>Implementar reglas WAF<\/strong> que bloqueen patrones maliciosos conocidos hacia los endpoints del API (filtrar payloads sospechosos, bloquear par\u00e1metros an\u00f3malos). Muchos proveedores WAF han publicado reglas de emergencia tras la divulgaci\u00f3n; aplicar r\u00e1pidamente.<\/li>\n\n\n\n<li><strong>Rotar\/invalidar tokens y cookies de sesi\u00f3n<\/strong> y forzar reautenticaci\u00f3n si se sospecha compromiso.<\/li>\n\n\n\n<li><strong>Revisar y endurecer la validaci\u00f3n de entrada<\/strong> en integraciones y extensiones personalizadas que interact\u00faen con el ServiceInputProcessor.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Aplicar el parche oficial de Adobe inmediatamente: Adobe public\u00f3 un bolet\u00edn y parches\/hotfixes para las ramas afectadas. Mismo que se puede encontrar en el siguiente enlace<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/helpx.adobe.com\/security\/products\/magento\/apsb25-88.html\">https:\/\/helpx.adobe.com\/security\/products\/magento\/apsb25-88.html<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/slcyber.io\/assetnote-security-research-center\/why-nested-deserialization-is-still-harmful-magento-rce-cve-2025-54236\/\">Why nested deserialization is STILL harmful \u2013 Magento RCE (CVE-2025-54236) \u203a Searchlight Cyber<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/thehackernews.com\/2025\/10\/over-250-magento-stores-hit-overnight.html\">Over 250 Magento Stores Hit Overnight as Hackers Exploit New Adobe Commerce Flaw<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-54236\">NVD &#8211; CVE-2025-54236<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":11112,"template":"","class_list":["post-11106","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11106","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11106\/revisions"}],"predecessor-version":[{"id":11111,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11106\/revisions\/11111"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11112"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11106"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}