Für eine kritische Sicherheitslücke in Adobes Shop-Systemen Commerce und Magento stehen seit September Updates zum Schließen bereit. Die sollten Admins zügig installieren – Attacken auf die Schwachstellen laufen inzwischen.
Adobe hat die Sicherheitsmitteilung zur Schwachstelle inzwischen angepasst und ergänzt, dass das Unternehmen von Angriffen im Internet auf die Lücke weiß. Richtig konkret wird das Unternehmen bei der Schwachstellenbeschreibung nicht, sondern zieht sich abstrakt auf "Common Weakness Enumeration"-Einordnung der Probleme zurück. Demnach handelt es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20), die zur Umgehung von Sicherheitsfunktionen führt (CVE-2025-54236, CVSS 9.1, Risiko "kritisch"). Im zugehörigen CVE-Eintrag findet sich der konkretere Hinweis, dass "erfolgreiche Angreifer das missbrauchen können, um Sessions zu übernehmen". Nutzerinteraktion ist zum Missbrauch nicht nötig.
Eine technisch tiefergehende Analyse findet sich bei NullSecurityX. Es handelt sich um eine Deserialisierungs-Schwachstelle, die die IT-Forscher "SessionReaper" genannt haben. "Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen, was zu einer Übernahme der Sitzung oder unter bestimmten Bedingungen (etwa dateibasierter Session-Speicher) zur Ausführung von Code aus dem Netz (RCE) führen kann", erörtern sie dort.
Die IT-Analysten von Sansec haben nun seit Mittwoch aktive Angriffe auf die Sicherheitslücke "SessionReaper" beobachtet. Den Autoren des Sicherheitsberichts zufolge haben derzeit lediglich 38 Prozent der Adobe-Commerce und -Magento-Stores die Sicherheitsupdates installiert – mehr als 60 Prozent der Shops sind damit noch verwundbar. IT-Sicherheitsforscher von Assetnote haben eine Analyse des Patches vorgelegt und die Deserialisierungslücke darin vorgeführt.
Erste Angriffe haben die IT-Forscher bereits beobachtet, Proof-of-Concept-Exploits sind öffentlich verfügbar. Daher rechnen die Analysten damit, dass nun massive Angriffe bevorstehen. Cyberkriminelle nehmen den Exploit-Code in ihre Werkzeugkästen auf und scannen das Netz automatisiert nach verwundbaren Instanzen. IT-Verantwortliche sollten die von ihnen betreuten Magento- und Commerce-Shops umgehend mit den bereitstehenden Aktualisierungen versorgen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare