Vulnerabilidad crítica en Adobe 2025
Vulnerabilidad - 11 de junio
Introducción
CVE-2025-47110 es una vulnerabilidad crítica de tipo Cross-Site Scripting (XSS) almacenado que afecta a plataformas de comercio electrónico como Adobe Commerce y Magento Open Source.
Análisis
CVE-2025-47110 permite que un atacante con privilegios administrativos inyecte código JavaScript malicioso en campos del sistema que, al ser visualizados por otros usuarios, ejecutan automáticamente el código sin intervención adicional. Esto podría comprometer información sensible, secuestrar sesiones o facilitar movimientos laterales dentro del sistema.
Versiones afectadas
- Adobe Commerce (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores, y 2.4.4-p13 y anteriores)
- Adobe Commerce B2B (1.5.2 y anteriores, 1.4.2-p5 y anteriores, 1.3.5-p10 y anteriores, 1.3.4-p12 y anteriores, y 1.3.3-p13 y anteriores)
- Magento de código abierto (2.4.8, 2.4.7-p5 y anteriores, 2.4.6-p10 y anteriores, 2.4.5-p12 y anteriores)
Recomendaciones
Adobe recomienda a los usuarios actualizar a las versiones parchadas más recientes o aplicar un parche aislado provisto por la empresa.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://thehackernews.com/2025/06/adobe-releases-patch-fixing-254.html
- https://helpx.adobe.com/security/products/experience-manager/apsb25-48.html
Vulnerabilidad crítica en Adobe y Magento - 10 septiembre
Introducción
Esta vulnerabilidad permite a un atacante secuestro de sesión de cliente y potencialmente ejecución remota de código sin autenticación, especialmente en sistemas que utilizan almacenamiento de sesión basado en archivos (la configuración por defecto en muchos entornos).
Análisis
CVE-2025-54236 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N - 9,1
CVE-2025-54236 es una vulnerabilidad crítica que afecta a las plataformas de comercio electrónico Adobe Commerce y Magento. Su gravedad radica en que permite a un atacante manipular las sesiones de los usuarios sin necesidad de autenticarse, lo que puede derivar en el robo de sesiones de clientes o incluso en la ejecución remota de código en el servidor.
Esta falla se origina por una validación incorrecta de la información que el sistema recibe al manejar las sesiones. En muchas instalaciones de Magento, las sesiones se almacenan en archivos del servidor de manera predeterminada. La vulnerabilidad permite que un atacante pueda interferir con este mecanismo, accediendo a cuentas de clientes, alterando datos o realizando transacciones en su nombre.
Versiones afectadas
Afecta a múltiples versiones de Adobe Commerce, Adobe Commerce B2B y Magento Open Source, incluyendo versiones como 2.4.9-alpha2 y anteriores, 2.4.8-p2 y anteriores, hasta otras versiones intermedias y también módulos específicos como Custom Attributes Serializable (0.1.0 a 0.4.0).
Recomendaciones
- Instalar el parche de Adobe, identificado como VULN-32437-2-4-X-patch, que cubre múltiples versiones entre 2.4.4 y 2.4.7
- Para el módulo Custom Attributes Serializable, se requiere actualizar a la versión 0.4.0 o superior mediante un comando Composer
- Adobe también desplegó reglas WAF para entornos en la nube que brindan protección temporal
Workarounds
No hay workarounds para esta vulnerabilidad.