Uma nova vulnerabilidade crítica na plataforma Magento acendeu um alerta máximo na comunidade de segurança da informação. Catalogada como CVE-2025-54236 e apelidada de SessionReaper, a falha já está sendo explorada ativamente por grupos criminosos e impactou mais de 200 sites de e-commerce, segundo análises recentes de pesquisadores de segurança.
O problema afeta diretamente o mecanismo de autenticação da plataforma e permite que invasores obtenham acesso administrativo completo, sem a necessidade de senha válida.
O que é a vulnerabilidade SessionReaper (CVE-2025-54236)
A falha ocorre quando o Magento não invalida corretamente os tokens de sessão após o logout de um usuário administrador. Esses tokens, que deveriam ser descartados, permanecem válidos por mais tempo do que o esperado.
Na prática, isso permite que um atacante:
- Intercepte um token de sessão legítimo
- Reutilize esse token mesmo após o logout do administrador
- Se passe por um usuário autorizado
- Ignore totalmente mecanismos de autenticação tradicionais
Esse tipo de token reaproveitado é chamado de “token zumbi”, pois continua ativo mesmo depois do encerramento da sessão original.
Impacto real: controle total do servidor e roubo de dados
Após o sequestro da sessão administrativa, os ataques seguem um padrão bem definido:
- Elevação de privilégios até nível root
- Implantação de web shells para persistência
- Execução remota de código no servidor
- Coleta de credenciais, dados sensíveis e informações financeiras
- Exfiltração de dados para infraestruturas externas
Investigações apontam que parte da infraestrutura de comando e controle utilizada nos ataques está localizada em países como Finlândia e Hong Kong, indicando operações organizadas e distribuídas.
Por que essa vulnerabilidade é considerada extremamente grave
O CVE-2025-54236 não é apenas mais uma falha de segurança. Ele combina três fatores críticos:
- Exploração sem credenciais válidas
- Acesso administrativo completo
- Execução remota de código
Isso significa que uma loja afetada pode ter todo o ambiente comprometido, incluindo banco de dados, integrações de pagamento, dados de clientes e infraestrutura do servidor.
Além do impacto técnico, o risco se estende para:
- Vazamento de dados de clientes (LGPD)
- Multas regulatórias
- Perda de confiança do consumidor
- Danos à reputação da marca
- Paralisação total das operações de e-commerce
Sistemas afetados
A vulnerabilidade atinge versões específicas do Magento que ainda não receberam o patch de segurança oficial. Ambientes desatualizados ou com manutenção negligenciada são os principais alvos dos ataques automatizados, que já escanearam mais de 1.000 APIs vulneráveis em busca de brechas exploráveis.
Medidas urgentes de mitigação
Para apoiar esse processo, é recomendável seguir um checklist de segurança específico para lojas Magento, abordando desde atualizações críticas até hardening do servidor e monitoramento contínuo.
👉 Confira este checklist completo de segurança Magento para 2026:
https://www.suportemagento.com.br/seguranca-magento-2026-checklist-para-sua-loja/
Mesmo após a correção, é fundamental verificar se o ambiente já não foi comprometido antes da aplicação do patch.
