Zu Content springen
Deutsch
maxcluster.de
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

SessionReaper (CVE-2025-54236)

Sicherheitslücke in Magento und Adobe Commerce

Hintergrund

Seit September 2025 ist eine schwerwiegende Sicherheitslücke unter dem Namen SessionReaper (CVE-2025-54236) bekannt.
Sie betrifft Magento 2 und Adobe Commerce-Installationen bis zu den Versionen, die in Adobes Sicherheitsupdate (APSB25-88) adressiert wurde.
Die Schwachstelle ermöglicht es Angreifern, über bestimmte Formular-Uploads – insbesondere das Customer-Address-FormularSchadcode in Form von PHP-Dateien hochzuladen und auszuführen (Remote Code Execution).
Unser Monitoring sowie die Erkenntnisse von Sansec zeigen, dass diese Lücke inzwischen aktiv ausgenutzt wird.

Der Patch von Adobe verhindert das Ausführen des Schadcodes, der Upload potenziell schädlicher Dateien wird dadurch jedoch nicht verhindert. Derzeit ist unklar, ob und wann hier durch Adobe Abhilfe geschaffen wird. Aus diesem Grund haben wir den Upload für bestimmte Pfade blockiert, sodass die Dateien auf unseren Servern nicht hochgeladen werden können.

FAQ

Was genau ist betroffen?
Betroffen sind Magento- und Adobe-Commerce-Shops, bei denen weder die Standalone-Patches noch eine aktuelle Magento-Version installiert sind.

Ist die Lücke bereits gepatcht?
Adobe hat die Versionen 2.4.8-p3, 2.4.7--p8,  2.4.6-p13,2.4.5-p15 und 2.4.4-p16 bereitgestellt, in denen die Sicherheitslücke behoben ist. Alternativ dazu wurden bereits im September Standalone-Patches bereitgestellt (APSB25-88 / Hotfix VULN-32437-2-4-X-patch), damit die Lücke so schnell wie möglich geschlossen werden kann.

Diese sollten umgehend installiert werden. Wir gehen davon aus, dass unsere Kundinnen und Kunden dies bereits umgesetzt haben.

Wie wird die Lücke ausgenutzt?
Angreifer nutzen Formular-Uploads (z. B. /customer/address_file/upload), um Schadcode auf das System zu schreiben. Die hochgeladenen Dateien können anschließend zur Ausführung beliebiger Befehle verwendet werden.

Welche Auswirkungen kann das haben?
Ungepatchte Systeme können kompromittiert werden – etwa durch Backdoors, Datendiebstahl oder Manipulation von Shop-Daten.

Es ist möglich, dass Angreifer Dateien auf dem Server platzieren.

Was maxcluster unternimmt

Zum Schutz aller betroffenen Systeme haben wir proaktive Sicherheitsmaßnahmen umgesetzt:

  • Upload-Pfade gesperrt: Die derzeit ausgenutzten Upload-Endpunkte wurden vorsorglich blockiert.
    • /address/file_upload
    • /customer/address_file/upload
    • /customer_custom_attributes/address_file/upload
    • /customer_custom_attributes/customer_file/upload

Wir passen die blockierten Endpunkte zum Upload kontinuierlich an. Um Angreifern keinen Informationsvorteil zu verschaffen, werden wir diese derzeit nicht veröffentlichen.

  • PHP-basierter Code-Schutz: Nachdem wir erste Informationen über die Sicherheitslücke erhalten hatten, haben wir innerhalb von PHP (per auto_prepend_file) Sicherheitsmaßnahmen ergriffen, die die Ausnutzung der Sicherheitslücke erschwert haben. Nachdem wir neue Informationen über die Sicherheitslücke erhalten hatten, haben wir diese Lösung erweitert, um die betroffenen Uploadpfade zu blockieren und kritische Funktionen in der REST-API zu schützen, die für den Angriff ausgenutzt werden können. Hierzu wird der Inhalt von REST-Requests geprüft, um bösartige Requests zu blockieren.
  • Überwachung durch ShopSecurity: Unsere integrierte Sicherheitslösung erkennt verdächtige Dateien oder Backdoors und kann in unserem Managed Center auch als täglicher Cronjob aktiviert werden.

Damit minimieren wir die Angriffsfläche, bis Adobe einen vollständigen Fix veröffentlicht.

Wichtiger Hinweis: Der eingesetzte Block stellt keinen vollständigen Anwendungsschutz sicher. Bitte beobachten Sie künftige Adobe-Sicherheitsupdates aufmerksam und installieren Sie neue Patches zeitnah.

maxcluster steht in engem Austausch mit der Sicherheits-Community sowie Sansec und reagiert umgehend auf neue Erkenntnisse oder empfohlene Gegenmaßnahmen.  

Sollten Sie Fragen haben, auf Probleme stoßen oder Unterstützung beim Anpassen individueller Sicherheitseinstellungen benötigen, steht Ihnen unser Support-Team jederzeit zur Verfügung.

Was Sie als Kunde tun können

  1. Patch-Stand prüfen:
    Vergewissern Sie sich, dass Ihr System den aktuellen Adobe-Patch (APSB25-88) enthält.
  2. Malware-Scan durchführen:
    Falls Updates verspätet installiert wurden, führen Sie einen vollständigen Malware-Scan durch – z. B. mit ShopSecurity in Ihrem maxcluster-Dashboard. Entfernen Sie anschließend verdächtige Dateien, die von ShopSecurity identifiziert werden.
  3. Secret Crypt Keys rotieren:
    Sollten Backdoors entdeckt worden sein, ändern Sie Ihre Magento Secret Keys und Passwörter, um potenziell kompromittierte Zugänge zu sichern.
  4. Regelmäßige Sicherheits- und Software-Updates:
    Halten Sie Ihr Shopsystem, Extensions und Integrationen stets aktuell.
  5. Bei Fragen oder Auffälligkeiten:
    Unser 24/7-Support-Team unterstützt Sie jederzeit bei der Prüfung und Absicherung Ihrer Systeme.

Hinweis: Das reine Blockieren einzelner URLs ist keine dauerhafte Lösung, da Angreifer alternative Upload-Pfade nutzen können.
maxcluster beobachtet die Situation fortlaufend und reagiert unmittelbar auf neue Erkenntnisse aus der Sicherheits-Community.

Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130  oder per E-Mail an support@maxcluster.de zur Verfügung.