Alerta e-commerce: Falha crítica no Adobe Commerce/Magento está sendo usada para invadir mais de 250 lojas

Alerta Vermelho no Carrinho de Compras

Imagine a seguinte cena: você está administrando sua loja virtual, o coração do seu negócio. De repente, sem qualquer aviso, um invasor consegue entrar, assumir o controle das contas dos seus clientes e, pior, deixar uma porta dos fundos aberta para voltar quando quiser. Para centenas de lojistas que usam as plataformas Adobe Commerce e Magento Open Source, esse pesadelo se tornou uma possibilidade bem real. De acordo com a empresa de segurança de e-commerce Sansec, uma falha de segurança gravíssima, identificada como CVE-2025-54236, está sendo explorada em larga escala, com mais de 250 ataques registrados nas últimas 24 horas.

A vulnerabilidade, que recebeu a nota de 9.1 em uma escala de 10 de periculosidade, foi poeticamente apelidada de 'SessionReaper' — ou o 'Ceifador de Sessões'. O nome é apropriado. A falha permite que um ator malicioso, através da API REST do Commerce, explore uma validação de entrada inadequada para, essencialmente, 'ceifar' sessões de usuários e tomar o controle de contas de clientes. Segundo a Adobe, que já confirmou a exploração ativa do problema, a falha foi descoberta e reportada de forma responsável pelo pesquisador de segurança conhecido como 'Blaklis'.

O Fantasma da Desserialização: Como o Ataque Acontece

Para nós, arqueólogos digitais, o método de ataque é quase uma obra de arte da engenharia reversa. O 'SessionReaper' explora o que é conhecido como uma falha de desserialização aninhada. Em termos simples, pense que os dados viajam pela internet em 'pacotes' serializados, como uma mala bem fechada e organizada. A desserialização é o processo de abrir essa mala no destino e arrumar tudo no lugar certo. A vulnerabilidade permite que o atacante envie uma mala com um 'presente' escondido — um código malicioso. Quando o sistema abre a mala (desserializa os dados), o código é executado.

A Sansec detalha que os invasores estão usando essa brecha para fazer upload de webshells em PHP. Um webshell é um backdoor, um script que fica escondido no servidor e dá ao hacker acesso contínuo e controle administrativo. É como entregar a chave mestra do seu estoque. Os ataques foram observados utilizando o caminho '/customer/address_file/upload' para plantar esses scripts. Além disso, os criminosos estão sondando o ambiente para extrair informações de configuração do PHP, um passo clássico de reconhecimento para planejar ataques futuros. A Sansec divulgou uma lista de IPs de origem dos ataques, que incluem:

34.227.25[.]4
44.212.43[.]34
54.205.171[.]35
155.117.84[.]134
159.89.12[.]166

Um Déjà Vu Preocupante no Legado do Magento

Como alguém que admira sistemas que resistem ao tempo, é doloroso ver uma plataforma tão fundamental para o e-commerce mundial, como o Magento, sofrer com problemas recorrentes. Esta não é a primeira vez que uma falha de desserialização assombra o ecossistema. Em julho de 2024, a vulnerabilidade CosmicSting (CVE-2024-34102), com uma nota ainda mais alta de 9.8, causou estragos semelhantes. Parece que o Magento tem mais fantasmas no código do que um castelo na Escócia. A diferença é que esses fantasmas podem custar milhões em prejuízos e quebrar a confiança do consumidor.

O que torna a situação ainda mais grave é a lentidão na aplicação das correções. Conforme o relatório da Sansec, seis semanas após a divulgação pública do patch pela Adobe, impressionantes 62% das lojas Magento ainda permanecem vulneráveis. É um número que acende todos os alertas. Com a publicação de provas de conceito (PoCs) e detalhes técnicos do ataque, a janela de oportunidade para os administradores se protegerem está se fechando rapidamente. A exploração, antes restrita a grupos mais habilidosos, agora pode ser automatizada e massificada por qualquer um com acesso a essas ferramentas.

A Corrida Contra o Tempo: Proteja Sua Loja Agora

Para os administradores de sistemas e donos de e-commerce no Brasil, onde a plataforma Adobe Commerce/Magento tem uma presença significativa, a mensagem é clara e urgente: a hora de agir é agora. A inércia é o maior aliado dos invasores. A recomendação fundamental é a aplicação imediata dos patches de segurança disponibilizados pela Adobe no mês passado. Procrastinar essa atualização é o equivalente a deixar a porta da sua loja física aberta durante a noite com um letreiro de 'pode entrar'.

O cenário é de uma corrida contra o relógio. Enquanto milhares de lojas permanecem expostas, os ataques se intensificam. A vulnerabilidade 'SessionReaper' é um lembrete contundente de que, no mundo digital, a segurança não é um estado permanente, mas um processo contínuo de vigilância e manutenção. Proteger os dados dos clientes e a integridade da operação não é apenas uma boa prática; é a base sobre a qual a confiança do e-commerce é construída.

Comentários

{{ totalComments !== null ? totalComments : comments.length }} comentários

{{ Math.max(0, commentCharLimit - (newCommentText || '').length) }} caracteres restantes

Seja o primeiro a comentar.

{{ c.user_name }}

{{ Math.max(0, commentCharLimit - (editingText || '').length) }} caracteres restantes

Fim dos comentários

Página não encontrada

{{ sp.title }}

Alerta e-commerce: Falha crítica no Adobe Commerce/Magento está sendo usada para invadir mais de 250 lojas

Alerta Vermelho no Carrinho de Compras

O Fantasma da Desserialização: Como o Ataque Acontece

Um Déjà Vu Preocupante no Legado do Magento

A Corrida Contra o Tempo: Proteja Sua Loja Agora

Página não encontrada

{{ sp.title }}

Alerta Vermelho no Carrinho de Compras

O Fantasma da Desserialização: Como o Ataque Acontece

Um Déjà Vu Preocupante no Legado do Magento

A Corrida Contra o Tempo: Proteja Sua Loja Agora

{{ rn.title }}

{{ rn.title }}