Adobe corrige una de las vulnerabilidades más críticas en la plataforma de comercio electrónico Magento.

Adobe ha solucionado una vulnerabilidad crítica en sus plataformas de Commerce y Magento Open Source que podría permitir el acceso total a las cuentas de usuario. Este fallo, denominado SessionReaper, ha sido clasificado con una severidad de 9.1 sobre 10 en la Base de Datos Nacional de Vulnerabilidades (NVD).

La vulnerabilidad se relaciona con una mala validación de entrada (CWE-20) afectando el componente ServiceInputProcessor del Web API, lo que podría permitir a los atacantes enviar solicitudes API potencialmente dañinas que eluden los controles de seguridad. El problema afecta a varias versiones, incluyendo 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 y versiones anteriores.

Un atacante exitoso puede aprovechar esta brecha para tomar control de sesiones, lo que eleva significativamente los riesgos para la confidencialidad y la integridad de los datos. Aunque Adobe ha implementado un firewall de aplicaciones web (WAF) para sus clientes de Adobe Commerce en la nube, la compañía indica que no tiene conocimiento de exploit en la naturaleza hasta el momento.

El parche para esta vulnerabilidad se lanzó el 9 de septiembre, y se recomienda a todos los usuarios que lo apliquen sin demora. Adobe ha advertido que la falta de aplicación del hotfix dejará a los sistemas vulnerables, limitando la capacidad de la empresa para ayudar en la remediación.

Sin embargo, la situación se complica por el hecho de que se filtró la solución inicial para SessionReaper, lo que podría permitir que actores malintencionados la analicen y descubran más vulnerabilidades que puedan ser explotadas. Además, algunos expertos expresan que la implementación del parche podría interrumpir funcionalidades existentes en Magento, lo que añade un nivel de complejidad a la situación.