Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad se encuentra en la forma en que Adobe Commerce y Magento revisan la información recibida a través de su Web API. Esta falla puede ser aprovechada por un atacante remoto para tomar el control de las sesiones de los usuarios, sin necesidad de permisos especiales ni de que el usuario realice alguna acción.
Recursos afectados
-
Adobe Commerce 2.4.9-alpha2 y anteriores
-
Adobe Commerce 2.4.8-p2 y anteriores
-
Adobe Commerce 2.4.7-p7 y anteriores
-
Adobe Commerce 2.4.6-p12 y anteriores
-
Adobe Commerce 2.4.5-p14 y anteriores
-
Adobe Commerce 2.4.4-p15 y anteriores
-
Magento Open Source en versiones equivalentes anteriores al parche publicado
Solución
-
Aplicar el parche proporcionado por Adobe mediante el Security Advisory APSB25-88, publicado el 9 de septiembre de 2025.
Recomendaciones
-
Actualizar de inmediato Adobe Commerce y Magento a las versiones parcheadas disponibles.
-
Mientras se realiza la actualización, aplicar medidas temporales como reglas en el WAF para mitigar riesgos.
-
Revisar los registros de acceso, sesiones y actividad de la API en busca de comportamientos sospechosos o intentos de secuestro de sesión.
-
Verificar que la validación de datos en las APIs sea adecuada y que las configuraciones de sesión (almacenamiento, tiempos de expiración, entre otros) estén correctamente aseguradas.
Referencias