Adobe ha advertido sobre una falla de seguridad crítica en sus plataformas de código abierto Adobe Commerce y Magento que, de explotarse con éxito, podría permitir a atacantes tomar el control de las cuentas de clientes.
La vulnerabilidad, identificada como CVE-2025-54236 (también conocida como SessionReaper), tiene una puntuación CVSS de 9,1 . Se ha descrito como una falla de validación de entrada incorrecta. Adobe afirmó no tener constancia de ninguna vulnerabilidad de seguridad activa.
"Un posible atacante podría tomar el control de las cuentas de clientes en Adobe Commerce a través de la API REST", declaró Adobe.
Adobe Además de publicar una corrección para la vulnerabilidad, Sansec afirmó haber implementado reglas WAF para proteger los entornos contra intentos de explotación que puedan afectar a los comerciantes que utilizan la infraestructura de Adobe Commerce en la nube.
"SessionReaper es una de las vulnerabilidades más graves de Magento en su historia, comparable a Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) y CosmicSting (2024)", declaró la empresa de seguridad Sansec.
Por su parte, SAP lanzó actualizaciones de seguridad para abordar múltiples fallas de seguridad, incluidas tres vulnerabilidades críticas en SAP Netweaver que podrían resultar en la ejecución de código y la carga de archivos arbitrarios.
Las vulnerabilidades son: CVE-2025-42944 (CVSS 10.0), CVE-2025-42922 (CVSS 9.9), CVE-2025-42958 (CVSS 9.1).