Adobe dicht lek in e-commercesoftware dat overname van sessie mogelijk maakt

Adobe heeft een Kritieke kwetsbaarheid gedicht in zijn Adobe Commerce- en Magento Open Source-software. De kwetsbaarheid stelt hackers in staat om een sessie van een gebruiker over te nemen. Daarvoor is geen gebruikersinteractie vereist.

Het beveiligingslek is geregistreerd onder CVE-2025-54236 en heeft een CVSS-score van 9,1 gekregen. Volgens e-commercebeveiligingsbedrijf Sansec is het door de kwetsbaarheid ook mogelijk om op afstand code uit te voeren. Het lek treft Adobe Commerce, Adobe Commerce B2B en Magento Open Source, zo maakt Adobe bekend.

Sansec heeft een exploit ontwikkeld die het lek kan misbruiken door een kwaadaardige sessie te combineren met een deserialisatiebug in de REST-api van Magento. Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt. Sansec raadt echter ook klanten die Redis of databasesessies gebruiken aan om onmiddellijk te patchen, aangezien er meerdere manieren zijn om de kwetsbaarheid te misbruiken.

Door Imre Himmelbauer

Redacteur

Feedback • 10-09-2025 20:02
7 • submitter: Webgnome

10-09-2025 • 20:02

7

Submitter: Webgnome

Lees meer

NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek
NCSC verwacht snel grootschalige hacks via nieuw Citrix NetScaler-lek Nieuws van 27 augustus 2025
Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen
Orange België meldt hack waarbij gegevens van 850.000 klanten zijn gestolen Nieuws van 20 augustus 2025
Cisco patcht Kritieke bug met CVSS-score van 10 in firewallsoftware
Cisco patcht Kritieke bug met CVSS-score van 10 in firewallsoftware Nieuws van 15 augustus 2025
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt Nieuws van 14 augustus 2025
Meer producten en artikelen
E-commerce Security

Reacties (7)

-Moderatie-faq
7
7
3
1
0
1
Wijzig sortering
Thonz 10 september 2025 22:14
Het artikel liet bij mij nog wat vragen na. In de inleiding en uit de zin:
Waarschijnlijk is remote code execution alleen mogelijk als de gebruiker bestandsgebaseerde sessieopslag gebruikt.
lijkt het risico van de kwetsbaarheid mee te vallen.

Is dit zo? Met een CVSS score van 9.1 blijkt dit niet te kloppen.

Nu kan het ook zijn dat elke kwetsbaarheid een hoge score krijgt, dus vraag ik mij af: Hoe verhoudt deze kwetsbaarheid zich tot andere misbruikte kwetsbaarheden? Het verwezen artikel zegt:
SessionReaper is one of the more severe Magento vulnerabilities in its history, comparable to Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) and CosmicSting (2024). Each time, thousands of stores got hacked, sometimes within hours of the flaw being published.
Hoewel enkel de kwetsbaarheid uit 2024 een CVSS score heeft gekregen (9.8), wordt de invloed van voorgaande hacks duidelijk en kan geconcludeerd worden dat het risico niet meevalt.

[Reactie gewijzigd door Thonz op 10 september 2025 22:24]

Reageer
darknessblade 10 september 2025 23:48
En dit is nog meer reden om OFFLINE/LOCAL ONLY software te gebruiken.
dan is het niet eens mogelijk om sessies over te nemen zonder DIRECT ACCESS tot de PC
Reageer
Toettoetdaan @darknessblade11 september 2025 00:05
Het gaat hier om E-commerce software. Veel van de webshops in de Pricewatch zullen er gebruik van maken. Dus dit kom je alleen online tegen.

Jij doelt waarschijnlijk op cloud applicaties, maar juist deze software is voor als je nog een (self) hosted platform wil bouwen. In deze categorie is het echt wel een van de beste platformen en daarom kent het ook veel gebruikers, alleen al in Nederland zijn er meer dan 6000 Magento webwinkels en in de hele wereld bijna 125.000.

Overigens zijn bestandsgebaseerde sessies niet heel gebruikelijk voor de grotere jongens, dus er zal geen hele grote paniek zijn over dit lek.
Reageer
InfiniteSpaze @Toettoetdaan11 september 2025 08:55
Een beetje offtopic maar je lijkt er wel verstand van te hebben. Maar is Magento een beetje competitief met services als Shopify of Odoo? Er wordt mij ook wel een gevraagd of ik een webshop op kan zetten maar ik ben bang dat ik als simpele wordpress designer mijn handen zal branden.
Reageer
Justice @InfiniteSpaze11 september 2025 10:12
Goede intuïtie wil je op een extra platform leren ontwikkelen (magento), niet de shop ontwikkelen (shopify) of een WordPress achtige shop tweaken (woocommerce)?

[Reactie gewijzigd door Justice op 11 september 2025 10:12]

Reageer
pbk @darknessblade11 september 2025 07:06
Dus je wil e-commerce software offline draaien? En hoe is je webshop dan bereikbaar? ;)
Reageer
Ventieldopje @darknessblade11 september 2025 08:55
En dit is nog meer reden om daadwerkelijk het artikel eens te lezen in plaats van direct te reageren met je onderbuikgevoelens.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq