Bedrohungsakteure nutzen eine kürzlich bekannt gewordene Sicherheitslücke in den Open-Source-Plattformen Adobe Commerce und Magento aus. Laut einem aktuellen Bericht von Sansec sind 3 von 5 Online-Shops immer noch anfällig. Da die Details des Exploits nun öffentlich sind, wird es in den nächsten Stunden zu massivem Missbrauch kommen. In den letzten 24 Stunden wurden bereits mehr als 250 Angriffsversuche auf Shops verzeichnet.
Bei der Sicherheitslücke CVE-2025-54236 (CVSS-Score: 9,1), auch bekannt als SessionReaper, handelt es sich um eine kritische Sicherheitslücke bei der Eingabevalidierung, die missbraucht werden kann, um über die Commerce REST API Kundenkonten in Adobe Commerce zu übernehmen.
Sicherheitsforscher von Assetnote veröffentlichten heute eine detaillierte technische Analyse der Schwachstelle und demonstrierten den verschachtelten Deserialisierungsfehler, der die Remote-Codeausführung ermöglicht. Da Proof-of-Concept-Code im Umlauf ist, ist das Zeitfenster für sichere Patches praktisch geschlossen.
Drei von fünf Shops sind weiterhin anfällig
Nach der Bekanntgabe der Sicherheitslücke im September 2025, waren weniger als jeder dritte Magento-Shop gepatcht. Sechs Wochen später hat sich diese Zahl kaum verbessert: Nur noch 38 % der Shops sind geschützt. Das bedeutet, dass 62 % der Magento-Shops weiterhin anfällig für kritische Remote-Code-Execution-Angriffe mit öffentlich verfügbaren Exploit-Details sind.
Da die Details des Exploits nun öffentlich sind und bereits aktive Angriffe beobachtet wurden, wird innerhalb der nächsten 48 Stunden eine massive Ausnutzung erwartet. Automatisierte Scan- und Exploit-Tools erscheinen in der Regel schnell nach der Veröffentlichung technischer Berichte, und die hohe Schlagkraft von SessionReaper macht es zu einem attraktiven Ziel für Angreifer.
Sofortmaßnahmen für ungepatchte Systeme:
Patch jetzt bereitstellen: Teste und installiere den Patch oder aktualisiere ihn auf die neueste Sicherheitsversion. Anweisungen findest du im Adobe-Entwicklerhandbuch.
WAF-Schutz aktivieren: Wenn du den Patch nicht sofort bereitstellen kannst, aktiviere eine Web Application Firewall.
Auf Kompromittierung prüfen: Wenn dubden Patch verzögert hast, führe einen Malware-Scanner aus, um nach Anzeichen einer Kompromittierung zu suchen.
Laut Sansec gehen die Angriffe von diesen IP-Adressen aus:
34.227.25.4
44.212.43.34
54.205.171.35
155.117.84.134
159.89.12.166Abonniere jetzt unsere Cyber-News!
Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
Ähnliche Beiträge
