Adobe resmi merilis pembaruan keamanan untuk menutup kerentanan kritis CVE-2025-54236 pada platform Adobe Commerce dan Magento Open Source. Celah ini, yang dijuluki SessionReaper, disebut sebagai salah satu kerentanan paling berbahaya dalam sejarah Magento.
Dampak Kerentanan
- Eksploitasi dapat dilakukan tanpa autentikasi melalui Commerce REST API.
- Penyerang berpotensi mengambil alih akun pelanggan dan melewati fitur keamanan penting.
- Konfigurasi default yang menyimpan session data di file system membuat sebagian besar toko rentan terhadap serangan.
Tindakan Adobe
- Adobe memberi tahu sebagian pelanggan Commerce pada 4 September 2025 terkait rencana rilis emergency fix pada 9 September.
- Bagi pengguna Adobe Commerce on Cloud, proteksi sementara sudah diaktifkan lewat aturan Web Application Firewall (WAF).
- Adobe menekankan pentingnya segera menguji dan mengimplementasikan patch, karena perusahaan memiliki keterbatasan dalam membantu mitigasi jika pengguna menunda pembaruan.
Risiko Eksploitasi
Meskipun belum ada laporan eksploitasi aktif di alam liar, firma keamanan Sansec memperingatkan bahwa hotfix awal sempat bocor minggu lalu, yang dapat memberi penyerang kesempatan lebih cepat mengembangkan exploit.
Sansec juga menekankan bahwa CVE-2025-54236 kemungkinan akan dieksploitasi secara otomatis dalam skala besar, serupa dengan kasus CosmicSting, TrojanOrder, Ambionics SQLi, dan Shoplift yang sebelumnya pernah mengguncang ekosistem Magento.
Efek Samping Patch
Penerapan patch ini akan menonaktifkan sebagian fungsi internal Magento, yang dapat memengaruhi kode kustom atau integrasi eksternal. Adobe pun memperbarui dokumentasi terkait perubahan pada parameter konstruktor REST API.
Rekomendasi
Administrator eCommerce sangat disarankan untuk:
- Segera mengunduh dan menerapkan patch yang tersedia.
- Menguji kompatibilitas terhadap kode kustom sebelum produksi.
- Memantau sistem dari potensi upaya eksploitasi otomatis.
Sumber: Sansec / Adobe