Adobe dicht lek in e-commercesoftware dat overname van sessie mogelijk maakt

Adobe heeft een Kritieke kwetsbaarheid gedicht in zijn Adobe Commerce- en Magento Open Source-software. De kwetsbaarheid stelt hackers in staat om een sessie van een gebruiker over te nemen. Daarvoor is geen gebruikersinteractie vereist.

Het beveiligingslek is geregistreerd onder CVE-2025-54236 en heeft een CVSS-score van 9,1 gekregen. Volgens e-commercebeveiligingsbedrijf Sansec is het door de kwetsbaarheid ook mogelijk om op afstand code uit te voeren. Het lek treft Adobe Commerce, Adobe Commerce B2B en Magento Open Source, zo maakt Adobe bekend.

Sansec heeft een exploit ontwikkeld die het lek kan misbruiken door een kwaadaardige sessie te combineren met een deserialisatiebug in de REST-api van Magento. Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt. Sansec raadt echter ook klanten die Redis of databasesessies gebruiken aan om onmiddellijk te patchen, aangezien er meerdere manieren zijn om de kwetsbaarheid te misbruiken.

Door Imre Himmelbauer

Redacteur

Feedback • 10-09-2025 20:02
21 • submitter: Webgnome

10-09-2025 • 20:02

21

Submitter: Webgnome

Lees meer

NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek Nieuws van 27 augustus 2025
Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen
Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen Nieuws van 20 augustus 2025
Cisco patcht Kritieke bug met CVSS-score van 10 in firewallsoftware
Cisco patcht Kritieke bug met CVSS-score van 10 in firewallsoftware Nieuws van 15 augustus 2025
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt Nieuws van 14 augustus 2025
Meer producten en artikelen
E-commerce Security

Reacties (21)

-Moderatie-faq
21
21
10
1
0
6
Wijzig sortering

Sorteer op:

Weergave:
Thonz 10 september 2025 22:14
Het artikel liet bij mij nog wat vragen na. In de inleiding en uit de zin:
Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt.
lijkt het risico van de kwetsbaarheid mee te vallen.

Is dit zo? Met een CVSS score van 9.1 blijkt dit niet te kloppen.

Nu kan het ook zijn dat elke kwetsbaarheid een hoge score krijgt, dus vraag ik mij af: Hoe verhoudt deze kwetsbaarheid zich tot andere misbruikte kwetsbaarheden? Het verwezen artikel zegt:
SessionReaper is one of the more severe Magento vulnerabilities in its history, comparable to Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) and CosmicSting (2024). Each time, thousands of stores got hacked, sometimes within hours of the flaw being published.
Hoewel enkel de kwetsbaarheid uit 2024 een CVSS score heeft gekregen (9.8), wordt de invloed van voorgaande hacks duidelijk en kan geconcludeerd worden dat het risico niet meevalt.

[Reactie gewijzigd door Thonz op 10 september 2025 22:24]

Reageer
P1nGu1n @Thonz11 september 2025 10:54
CVSS score != risico

De CVSS score is een weergave van de impact. Echter, risico = kans × impact. Als maar weinig installaties bestandsgebaseerde sessieopslag gebruiken, dan is de kans klein en het risico dus ook relatief laag.
Reageer
Thonz @P1nGu1n11 september 2025 12:30
risico = kans × impact
Daar heb je helemaal gelijk in! Ik heb mijn woorden niet zorgvuldig genoeg gekozen in de eerste alinea.
Als maar weinig installaties bestandsgebaseerde sessieopslag gebruiken, dan is de kans klein en het risico dus ook relatief laag
Wordt zo'n risico beredeneerd vanuit het gehele aantal Magento installaties? Dat lijkt mij onlogisch gezien deze niet verbonden zijn en misbruik van de kwetsbaarheid, geen toegang geeft tot installaties bij andere klanten van Adobe.
Aan de andere kant is het beredeneren vanuit individuale installaties ook niet juist, gezien de kans op ten duur 100% wordt indien de kwetsbaarheid niet wordt gedicht (andere factoren daargelaten).
Reageer
darknessblade 10 september 2025 23:48
En dit is nog meer reden om OFFLINE/LOCAL ONLY software te gebruiken.
dan is het niet eens mogelijk om sessies over te nemen zonder DIRECT ACCESS tot de PC
Reageer
Toettoetdaan @darknessblade11 september 2025 00:05
Het gaat hier om E-commerce software. Veel van de webshops in de Pricewatch zullen er gebruik van maken. Dus dit kom je alleen online tegen.

Jij doelt waarschijnlijk op cloud applicaties, maar juist deze software is voor als je nog een (self) hosted platform wil bouwen. In deze categorie is het echt wel een van de beste platformen en daarom kent het ook veel gebruikers, alleen al in Nederland zijn er meer dan 6000 Magento webwinkels en in de hele wereld bijna 125.000.

Overigens zijn bestandsgebaseerde sessies niet heel gebruikelijk voor de grotere jongens, dus er zal geen hele grote paniek zijn over dit lek.
Reageer
InfiniteSpaze @Toettoetdaan11 september 2025 08:55
Een beetje offtopic maar je lijkt er wel verstand van te hebben. Maar is Magento een beetje competitief met services als Shopify of Odoo? Er wordt mij ook wel een gevraagd of ik een webshop op kan zetten maar ik ben bang dat ik als simpele wordpress designer mijn handen zal branden.
Reageer
Toettoetdaan @InfiniteSpaze11 september 2025 10:31
Magento is eigenlijk pas interessant vanaf MKB, voor een handjevol producten heb je aan andere opties genoeg.

Maar als je echt maatwerk wil, dan is Magento eigenlijk je enige optie. Dat komt niet alleen door het modulaire platform, maar ook door het ecosysteem waarin ontwikkelaars fatsoenlijk worden betaalt, daardoor kun je ze ook vinden als je er één nodig hebt.

Ik zou dus niet snel als eerste kiezen voor Magento, maar ik kies er wel heel vaak voor :)
Reageer
InfiniteSpaze @Toettoetdaan11 september 2025 10:37
Klinkt wel interessant. Wat zou je wel als eerste kiezen? Of heb je tussen diverse opdrachten verschillende keuzes?
Reageer
Toettoetdaan @InfiniteSpaze11 september 2025 15:34
WooCommerce als je zelf wil hosten en de winkeleigenaar een beetje handig is.
Lightspeed of CCVShop als er een fysieke winkel bij zit.
Shopify als er geen budget is en/of het zo simpel mogelijk moet zijn.

Magento dus echt pas als er maatwerk bij komt kijken en of als de winkeleigenaar de visie heeft om serieus te groeien. Het gebeurt dus ook wel eens dat het een bedrijf is dat van een van de bovenstaande platformen vandaan komt en daar gewoon uit gegroeid is.
Reageer
InfiniteSpaze @Toettoetdaan11 september 2025 16:46
Super dankjewel! dit is een overzicht/uitleg die ik even nodig had!
Reageer
Justice @InfiniteSpaze11 september 2025 10:12
Goede intuïtie wil je op een extra platform leren ontwikkelen (magento), niet de shop ontwikkelen (shopify) of een WordPress achtige shop tweaken (woocommerce)?

[Reactie gewijzigd door Justice op 11 september 2025 10:12]

Reageer
Dan0sz @InfiniteSpaze11 september 2025 16:57
Magento is alleen geschikt voor MKB+. Het is wel een prachtig platform. Heb er 5 jaar met veel plezier mee gewerkt.

Woocommerce is geschikt om in te groeien en voor beginnende shops.

Shopify is relatief duur. Voor iedere addon betaal je nl. een x bedrag per maand, maar ook prima om mee te beginnen, alleen heb ik begrepen van sommige mensen dat ze op een gegeven moment wel tegen de limieten aan liepen. Sommige dingen zijn gewoon niet mogelijk in Shopify, en daarin zijn WC en M2 gewoon veel flexibeler.

Dus, als je groeit, zul je alsnog migreren vanaf Shopify naar WC of M2. Maar je kunt ook eens naar Shopware kijken. Iets makkelijker onder de knie te krijgen, vergeleken met M2.

Maar, eerlijk is eerlijk, WC is tegenwoordig ook gewoon prima. Vroeger was het niet vooruit te branden, maar dat is sinds v8 (uit m'n hoofd) niet meer zo.

[Reactie gewijzigd door Dan0sz op 11 september 2025 17:02]

Reageer
InfiniteSpaze @Dan0sz12 september 2025 09:06
Thanks voor de info. Heb wel een vraagje over WC. Want dit werkt in combinatie met WordPress toch? Mijn ervaring is als je iets moois met WordPress wilt maken dat je net zoals Shopify al snel addons nodig hebt die jaarlijks/maandelijks betaald moeten worden. Heb er een paar die gelukkig een lifetime subscription hadden. Is WC dan niet hetzelfde als het via WordPress werkt?
Reageer
Nabzz @InfiniteSpaze12 september 2025 13:10
Om iets 'moois' te maken met WP heb je niet perse plugins nodig. Te veel plugins maken je website onnodig zwaar, langzaam en gevoelig voor 'hacks'. Best practice is dus om het gebruik van plugins zoveel mogelijk te beperken.

Hoe maak je dan wel iets moois? 2 opties:
  1. Met de hand: kies een base theme en style met CSS. Als je handig bent met PHP kun je veel maatwerk zelf verrichten.
  2. De thema/builder route: mocht je niet bekend zijn met code dan kun je voor deze route gaan. Kies dan een thema of builder die enigszins bekend is. Ik zou zelf Elementor (pro) of WPBakery aanraden. Thema's/builders maken je website altijd enigszins langzamer, al zijn de bovengenoemde wel ietwat geoptimaliseerd om dit te beperken.
Zoals hiervoor al aangegeven, Magento is meer voor MKB+. De grote(re) jongens. Dan is je site 'stabieler', maar vergt wel meer technische kennis/toegang tot een goede developer om het goed neer te zetten.

Shopify = stabiel, maar duur. Voor veel mogelijkheden moet je idd plugins aanschaffen wat snel kan oplopen. De abonnementen van Shopify zijn opzichzelf al duur. Maatwerk is in Shopify ook mogelijk, maar dan heb je wel iemand nodig die verstand heeft van Liquid.

Wat betreft startende/kleinere ondernemers zou ik dus voor Wordpress (Woocommerce) gaan. Mocht je winkel uiteindelijk zodanig opschalen dat het platform dat niet meer aankan dan kun je tegen die tijd altijd overwegen om over te stappen naar Shopify/Magento.
Reageer
InfiniteSpaze @Nabzz12 september 2025 13:42
Persoonlijk maak ik gebruik van Divi ipv Elementor en WPBakery. Kwa UI vergelijkbaar met Elementor en het kostte mij een paar jaar geleden ongeveer 300 euro voor een lifetime subscription. Daar komt Elementor niet bij in de buurt.

Het nadeel is wel dat ik mezelf wel opsluit in het Divi ecosyteem maar dit zal je wel met meerdere builders hebben.
Reageer
Nabzz @InfiniteSpaze12 september 2025 15:20
Divi valt idd binnen dezelfde categorie en is prima om leuke shops mee te bouwen.

Veel succes!
Reageer
Dan0sz @InfiniteSpaze23 september 2025 23:10
Woocommerce is een WordPress plugin, en inderdaad, soms moet je voor plugins betalen, maar die kosten kun je toch gewoon doorberekenen aan je klant?

Woocommerce is onlangs begonnen met een "more in core", waarmee ze meer functies in core willen betrekken waar voorheen plugins nodig waren.

[Reactie gewijzigd door Dan0sz op 23 september 2025 23:12]

Reageer
InfiniteSpaze @Dan0sz24 september 2025 08:38
Dankje! Goed om te weten.
Reageer
pbk @darknessblade11 september 2025 07:06
Dus je wil e-commerce software offline draaien? En hoe is je webshop dan bereikbaar? ;)
Reageer
cracking cloud @pbk11 september 2025 10:42
Ouderwets via de papieren catalogus. En dan zo'n kaartje insturen met wat je wil bestellen. Met blokletters invullen AUB.
Reageer
Ventieldopje @darknessblade11 september 2025 08:55
En dit is nog meer reden om daadwerkelijk het artikel eens te lezen in plaats van direct te reageren met je onderbuikgevoelens.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq