Adobe dicht lek in e-commercesoftware dat overname van sessie mogelijk maakt

Adobe heeft een Kritieke kwetsbaarheid gedicht in zijn Adobe Commerce- en Magento Open Source-software. De kwetsbaarheid stelt hackers in staat om een sessie van een gebruiker over te nemen. Daarvoor is geen gebruikersinteractie vereist.

Het beveiligingslek is geregistreerd onder CVE-2025-54236 en heeft een CVSS-score van 9,1 gekregen. Volgens e-commercebeveiligingsbedrijf Sansec is het door de kwetsbaarheid ook mogelijk om op afstand code uit te voeren. Het lek treft Adobe Commerce, Adobe Commerce B2B en Magento Open Source, zo maakt Adobe bekend.

Sansec heeft een exploit ontwikkeld die het lek kan misbruiken door een kwaadaardige sessie te combineren met een deserialisatiebug in de REST-api van Magento. Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt. Sansec raadt echter ook klanten die Redis of databasesessies gebruiken aan om onmiddellijk te patchen, aangezien er meerdere manieren zijn om de kwetsbaarheid te misbruiken.

IT-banen

Reacties (21)

Thonz 10 september 2025 22:14

Het artikel liet bij mij nog wat vragen na. In de inleiding en uit de zin:

Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt.

lijkt het risico van de kwetsbaarheid mee te vallen.

Is dit zo? Met een CVSS score van 9.1 blijkt dit niet te kloppen.

Nu kan het ook zijn dat elke kwetsbaarheid een hoge score krijgt, dus vraag ik mij af: Hoe verhoudt deze kwetsbaarheid zich tot andere misbruikte kwetsbaarheden? Het verwezen artikel zegt:

SessionReaper is one of the more severe Magento vulnerabilities in its history, comparable to Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) and CosmicSting (2024). Each time, thousands of stores got hacked, sometimes within hours of the flaw being published.

Hoewel enkel de kwetsbaarheid uit 2024 een CVSS score heeft gekregen (9.8), wordt de invloed van voorgaande hacks duidelijk en kan geconcludeerd worden dat het risico niet meevalt.

[Reactie gewijzigd door Thonz op 10 september 2025 22:24]

P1nGu1n

@Thonz • 11 september 2025 10:54

CVSS score != risico

De CVSS score is een weergave van de impact. Echter, risico = kans × impact. Als maar weinig installaties bestandsgebaseerde sessieopslag gebruiken, dan is de kans klein en het risico dus ook relatief laag.

Thonz @P1nGu1n • 11 september 2025 12:30

risico = kans × impact

Daar heb je helemaal gelijk in! Ik heb mijn woorden niet zorgvuldig genoeg gekozen in de eerste alinea.

Als maar weinig installaties bestandsgebaseerde sessieopslag gebruiken, dan is de kans klein en het risico dus ook relatief laag

Wordt zo'n risico beredeneerd vanuit het gehele aantal Magento installaties? Dat lijkt mij onlogisch gezien deze niet verbonden zijn en misbruik van de kwetsbaarheid, geen toegang geeft tot installaties bij andere klanten van Adobe.
Aan de andere kant is het beredeneren vanuit individuale installaties ook niet juist, gezien de kans op ten duur 100% wordt indien de kwetsbaarheid niet wordt gedicht (andere factoren daargelaten).

darknessblade 10 september 2025 23:48

En dit is nog meer reden om OFFLINE/LOCAL ONLY software te gebruiken.
dan is het niet eens mogelijk om sessies over te nemen zonder DIRECT ACCESS tot de PC

Toettoetdaan @darknessblade • 11 september 2025 00:05

Het gaat hier om E-commerce software. Veel van de webshops in de Pricewatch zullen er gebruik van maken. Dus dit kom je alleen online tegen.

Jij doelt waarschijnlijk op cloud applicaties, maar juist deze software is voor als je nog een (self) hosted platform wil bouwen. In deze categorie is het echt wel een van de beste platformen en daarom kent het ook veel gebruikers, alleen al in Nederland zijn er meer dan 6000 Magento webwinkels en in de hele wereld bijna 125.000.

Overigens zijn bestandsgebaseerde sessies niet heel gebruikelijk voor de grotere jongens, dus er zal geen hele grote paniek zijn over dit lek.

InfiniteSpaze @Toettoetdaan • 11 september 2025 08:55

Een beetje offtopic maar je lijkt er wel verstand van te hebben. Maar is Magento een beetje competitief met services als Shopify of Odoo? Er wordt mij ook wel een gevraagd of ik een webshop op kan zetten maar ik ben bang dat ik als simpele wordpress designer mijn handen zal branden.

Toettoetdaan @InfiniteSpaze • 11 september 2025 10:31

Magento is eigenlijk pas interessant vanaf MKB, voor een handjevol producten heb je aan andere opties genoeg.

Maar als je echt maatwerk wil, dan is Magento eigenlijk je enige optie. Dat komt niet alleen door het modulaire platform, maar ook door het ecosysteem waarin ontwikkelaars fatsoenlijk worden betaalt, daardoor kun je ze ook vinden als je er één nodig hebt.

Ik zou dus niet snel als eerste kiezen voor Magento, maar ik kies er wel heel vaak voor

InfiniteSpaze @Toettoetdaan • 11 september 2025 10:37

Klinkt wel interessant. Wat zou je wel als eerste kiezen? Of heb je tussen diverse opdrachten verschillende keuzes?

Toettoetdaan @InfiniteSpaze • 11 september 2025 15:34

WooCommerce als je zelf wil hosten en de winkeleigenaar een beetje handig is.
Lightspeed of CCVShop als er een fysieke winkel bij zit.
Shopify als er geen budget is en/of het zo simpel mogelijk moet zijn.

Magento dus echt pas als er maatwerk bij komt kijken en of als de winkeleigenaar de visie heeft om serieus te groeien. Het gebeurt dus ook wel eens dat het een bedrijf is dat van een van de bovenstaande platformen vandaan komt en daar gewoon uit gegroeid is.

InfiniteSpaze @Toettoetdaan • 11 september 2025 16:46

Super dankjewel! dit is een overzicht/uitleg die ik even nodig had!

Justice @InfiniteSpaze • 11 september 2025 10:12

Goede intuïtie wil je op een extra platform leren ontwikkelen (magento), niet de shop ontwikkelen (shopify) of een WordPress achtige shop tweaken (woocommerce)?

[Reactie gewijzigd door Justice op 11 september 2025 10:12]

Dan0sz @InfiniteSpaze • 11 september 2025 16:57

Magento is alleen geschikt voor MKB+. Het is wel een prachtig platform. Heb er 5 jaar met veel plezier mee gewerkt.

Woocommerce is geschikt om in te groeien en voor beginnende shops.

Shopify is relatief duur. Voor iedere addon betaal je nl. een x bedrag per maand, maar ook prima om mee te beginnen, alleen heb ik begrepen van sommige mensen dat ze op een gegeven moment wel tegen de limieten aan liepen. Sommige dingen zijn gewoon niet mogelijk in Shopify, en daarin zijn WC en M2 gewoon veel flexibeler.

Dus, als je groeit, zul je alsnog migreren vanaf Shopify naar WC of M2. Maar je kunt ook eens naar Shopware kijken. Iets makkelijker onder de knie te krijgen, vergeleken met M2.

Maar, eerlijk is eerlijk, WC is tegenwoordig ook gewoon prima. Vroeger was het niet vooruit te branden, maar dat is sinds v8 (uit m'n hoofd) niet meer zo.

[Reactie gewijzigd door Dan0sz op 11 september 2025 17:02]

InfiniteSpaze @Dan0sz • 12 september 2025 09:06

Thanks voor de info. Heb wel een vraagje over WC. Want dit werkt in combinatie met WordPress toch? Mijn ervaring is als je iets moois met WordPress wilt maken dat je net zoals Shopify al snel addons nodig hebt die jaarlijks/maandelijks betaald moeten worden. Heb er een paar die gelukkig een lifetime subscription hadden. Is WC dan niet hetzelfde als het via WordPress werkt?

Nabzz @InfiniteSpaze • 12 september 2025 13:10

Om iets 'moois' te maken met WP heb je niet perse plugins nodig. Te veel plugins maken je website onnodig zwaar, langzaam en gevoelig voor 'hacks'. Best practice is dus om het gebruik van plugins zoveel mogelijk te beperken.

Hoe maak je dan wel iets moois? 2 opties:

Met de hand: kies een base theme en style met CSS. Als je handig bent met PHP kun je veel maatwerk zelf verrichten.
De thema/builder route: mocht je niet bekend zijn met code dan kun je voor deze route gaan. Kies dan een thema of builder die enigszins bekend is. Ik zou zelf Elementor (pro) of WPBakery aanraden. Thema's/builders maken je website altijd enigszins langzamer, al zijn de bovengenoemde wel ietwat geoptimaliseerd om dit te beperken.

Zoals hiervoor al aangegeven, Magento is meer voor MKB+. De grote(re) jongens. Dan is je site 'stabieler', maar vergt wel meer technische kennis/toegang tot een goede developer om het goed neer te zetten.

Shopify = stabiel, maar duur. Voor veel mogelijkheden moet je idd plugins aanschaffen wat snel kan oplopen. De abonnementen van Shopify zijn opzichzelf al duur. Maatwerk is in Shopify ook mogelijk, maar dan heb je wel iemand nodig die verstand heeft van Liquid.

Wat betreft startende/kleinere ondernemers zou ik dus voor Wordpress (Woocommerce) gaan. Mocht je winkel uiteindelijk zodanig opschalen dat het platform dat niet meer aankan dan kun je tegen die tijd altijd overwegen om over te stappen naar Shopify/Magento.

InfiniteSpaze @Nabzz • 12 september 2025 13:42

Persoonlijk maak ik gebruik van Divi ipv Elementor en WPBakery. Kwa UI vergelijkbaar met Elementor en het kostte mij een paar jaar geleden ongeveer 300 euro voor een lifetime subscription. Daar komt Elementor niet bij in de buurt.

Het nadeel is wel dat ik mezelf wel opsluit in het Divi ecosyteem maar dit zal je wel met meerdere builders hebben.

Nabzz @InfiniteSpaze • 12 september 2025 15:20

Divi valt idd binnen dezelfde categorie en is prima om leuke shops mee te bouwen.

Veel succes!

Dan0sz @InfiniteSpaze • 23 september 2025 23:10

Woocommerce is een WordPress plugin, en inderdaad, soms moet je voor plugins betalen, maar die kosten kun je toch gewoon doorberekenen aan je klant?

Woocommerce is onlangs begonnen met een "more in core", waarmee ze meer functies in core willen betrekken waar voorheen plugins nodig waren.

[Reactie gewijzigd door Dan0sz op 23 september 2025 23:12]

InfiniteSpaze @Dan0sz • 24 september 2025 08:38

Dankje! Goed om te weten.