De SessionReaper-kwetsbaarheid (CVE-2025-54236) is een kritieke fout in Magento Open Source en Adobe Commerce die sessies van gehackte accounts kan overnemen, wat leidt tot geautomatiseerde accountovername, gegevensdiefstal en frauduleuze bestellingen. Adobe heeft een kritieke noodoplossing uitgebracht met een score van 9.1 op het CVSS-systeem, die onmiddellijk moet worden geïnstalleerd om de risico's te beperken.
Waarom is CVE-2025-54236 zo kritisch?
Aanval is op afstand en via het netwerk uit te voeren
Geen speciale rechten of voorwaarden nodig
Geen actie van de gebruiker vereist
Gevoelige data kan gemakkelijk worden ingezien of gemanipuleerd
CVSS-score van 9.1/10 – dat betekent: kritiek
Duizenden webshops lopen risico om in enkele uren gehackt te worden
Adobe heeft daarom de patch eerder beschikbaar gesteld dan gepland (de oorspronkelijke release stond op 14 oktober).
Wat is CVSS en wat zegt een score van 9.1?
CVSS staat voor Common Vulnerability Scoring System en geeft aan hoe ernstig een beveiligingslek is.
De scores zijn als volgt ingedeeld:
0.1 – 3.9 = laag
4.0 – 6.9 = gemiddeld
7.0 – 8.9 = hoog
9.0 – 10.0 = kritiek
CVE-2025-54236 scoorde een 9.1. Een ernstig lek dus, dat directe actie vereist van ontwikkelaars.
Wat betekent dit voor Magento Open Source (en Adobe Commerce)?
Begin september werden Adobe Commerce-klanten via een directe melding op de hoogte gebracht. Gebruikers van Magento Open Source ontvingen geen notificatie, terwijl zij net zo kwetsbaar zijn. Adobe classificeert deze patch als priority 2: er zijn nog geen actieve aanvallen waargenomen, maar gezien de impact moet er snel gehandeld worden.
🔗 Patch downloaden: VULN-32437-2-4-X-patch.zip
Waarom onze klanten veilig waren vóór de patch beschikbaar was
Dankzij de meldingen van o.a. Sansec en uit de community werden we al een dag voor de officiële patchrelease gewaarschuwd. Op basis van deze informatie hebben we direct drie beschermende maatregelen genomen:
REST API uitgeschakeld bij klanten die deze niet gebruiken
IP-whitelisting ingesteld bij klanten die de REST API wel gebruiken
Logging verscherpt om verdachte activiteit sneller te signaleren
Daarnaast hebben we onze planning volledig omgegooid om directe patching van alle webshops mogelijk te maken. Om 16:00 uur, op het moment dat de patch beschikbaar kwam, waren onze developers al gestart met uitrollen. Binnen enkele uren was het overgrote deel van onze klanten beveiligd.
Nog niet gepatched? Hurry up, want het is echt nodig. Vraag onze experts hoe we je kunnen helpen.
