sessionreaper

SessionReaper (CVE-2025-54236) in Magento 2 / Adobe Commerce – Warum Händler jetzt sofort handeln müssen

Für viele Online-Händler ist das Thema Sicherheit oft ein notwendiges Übel – bis die Gefahr plötzlich Realität wird. Aktuell steht eine der schwerwiegendsten Schwachstellen in der Historie von Magento und Adobe Commerce im Raum: Die Lücke mit dem Namen CVE‑2025‑54236, bekannt unter dem Alias „SessionReaper“. csoonline.com+3sansec.io+3bleepingcomputer.com+3
In diesem Artikel erfahren Sie, was SessionReaper genau ist, welche Versionen betroffen sind, warum sie so gefährlich ist – und vor allem: was Sie als Shop-Betreiber oder Agentur sofort tun müssen, um Ihr System abzusichern.

Was ist „SessionReaper“?

„SessionReaper“ bezeichnet eine Sicherheitslücke, die in Magento 2 / Adobe Commerce (und der Open-Source-Variante) gefunden wurde und unter der Kennung CVE-2025-54236 geführt wird. helpx.adobe.com+2tenable.com+2
Konkret handelt es sich um eine Improper Input Validation (CWE-20) im Web API Bereich – genauer: im Modul ServiceInputProcessor des REST API Services. Cyber Security News+1
Das bedeutet: Angreifer können im günstigsten Fall Sitzungen übernehmen („Session Hijacking“) oder unter bestimmten Bedingungen sogar Remote Code Execution (RCE) erreichen. The Hacker News+1
Das Risiko wurde mit einem CVSS-Score von 9.1/10 klassifiziert – damit zählt sie zu den kritischsten Magento-Lücken überhaupt. secpod.com+1

Warum ist das besonders relevant?

Als Betreiber oder Entwickler eines Magento-Shops sollten Sie sich der folgenden Gründe bewusst sein:

  • Magento/Adobe Commerce ist weit verbreitet: Tausende Shops laufen täglich mit dieser Plattform – daher ein attraktives Ziel für Angreifer. Greenbone+1
  • Die Schwachstelle erlaubt ungeprüfte Eingaben, wodurch Angreifer ohne Benutzerinteraktion angreifen können. tenable.com
  • Adobe hat außerhalb des regulären Zyklus einen Not-Patch veröffentlicht – ein klares Indiz für extreme Dringlichkeit. Daily CyberSecurity+1
  • Bereits Exploits und automatisierte Scans wurden bestätigt: Laut Sicherheitsforschern sind Systeme bereits aktiv angegriffen worden. Akamai+1
  • Die Folgen im Schadensfall sind erheblich: Kundenkonten können übernommen werden, Zahlungs- oder Vertriebsdaten kompromittiert, Vertrauen zerstört – im schlimmsten Fall Code auf dem Server ausgeführt werden. secpod.com

Aus SEO-Sicht: Das Keyword „SessionReaper Magento“ zeigt hohe Relevanz jetzt im Oktober/November 2025, da die Meldungen aktuell sind und viele Betreiber auf Suchanfragen reagieren – damit haben Sie gute Chancen, in den Suchergebnissen vorne mitzuspielen.

Welche Versionen von Magento / Adobe Commerce sind betroffen?

Laut dem offiziellen Advisory von Adobe sind folgende Versionen anfällig: helpx.adobe.com+1

Betroffene Produkte und Versionen:

  • Adobe Commerce (alle Deployment-Methoden): Versionen bis einschließlich 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 und früher. helpx.adobe.com
  • Adobe Commerce B2B: Versionen bis 1.5.3-alpha2, 1.5.2-p2, 1.4.2-p7, 1.3.4-p14, 1.3.3-p15 und früher. helpx.adobe.com
  • Magento Open Source: Versionen bis 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 und früher. experienceleague.adobe.com
  • Zudem: Modul „Custom Attributes Serializable“ (magento/out-of-process-custom-attributes) in den Versionen 0.1.0-0.3.0. experienceleague.adobe.com

Hinweis: Wenn Sie eine neuere Version einsetzen oder das Modul nicht installiert haben, bedeutet dies nicht automatisch, dass Sie sicher sind. Zusatzmodule, Hosting Einstellungen oder individuelle Custom Code Pfade können weitere Einfallstore bieten.

„How the attack works“ – So läuft der Angriff

Obwohl nicht alle technischen Details veröffentlicht wurden (um Nachahmung zu verhindern), lässt sich der Angriffsablauf wie folgt zusammenfassen:

  1. Der Angreifer sendet manipulierte API-Requests gegen den REST API Endpunkt, insbesondere unter Nutzung der Web API ServiceInputProcessor Komponente. sansec.io+1
  2. Durch fehlerhafte Input-Validierung werden Sessions übersprungen oder erstellt, die einem echten Kunden oder Admin zurgeordnet werden könnten. So gelingt eine Sitzungsübernahme (Session Hijacking). Greenbone+1
  3. Unter bestimmten Bedingungen – z. B. wenn Dateibasierte Session-Speicherung genutzt wird – kann daraus eine Remote Code Execution resultieren (z. B. Web-Shell Upload) – dies wurde von Sicherheitsforschern demonstriert. The Hacker News+1
  4. Sobald ein Web-Shell besteht, kann der Angreifer persistenten Zugriff gewinnen, Kundendaten auslesen, Zahlungen manipulieren oder Vertrauen zerstören. Akamai

Wichtig: Auch wenn Sie Datenbank- oder Redis-basierte Sessions nutzen – was früher als Schutz galt – ist eine vollständige Sicherheit nicht garantiert. Die Empfehlung lautet: Angriffsmöglichkeit sofort begrenzen und Patch einspielen. sansec.io

Was müssen Händler und Agenturen jetzt tun?

1. Versions-Check & Inventarisierung

Prüfen Sie umgehend Ihre Shop-Installation:

  • Welche Magento / Adobe Commerce Version läuft?
  • Nutzt das System das Modul „Custom Attributes Serializable“?
  • Welche Session-Speicherart wird verwendet (Datei, Datenbank, Redis)?
  • Welche Erweiterungen und Hosting Infrastruktur bestehen (z. B. eigene WAF, Hosting Anbieter)?

2. Patch-Installation

Laden Sie den offiziellen Hotfix oder das Updateset herunter: helpx.adobe.com+2Daily CyberSecurity+2
Installieren Sie sofort den Patch (oder planen Sie es als Erstmaßnahme). Wenn ein sofortiger Update nicht möglich ist, gilt: kurzfristig Schutzmaßnahmen aktivieren (siehe Abschnitt 3).
Achten Sie darauf: Nach­installationen können Auswirkungen auf Custom-Code haben, deshalb vorab Testumgebung prüfen! sansec.io

3. Sofortige Zwischen-Absicherungen (wenn Patch verzögert)

  • Aktivieren bzw. prüfen Sie eine Web Application Firewall (WAF) mit Regeln gegen diese Schwachstelle (z. B. von Hosting Provider oder Drittanbieter). sansec.io+1
  • Analysieren Sie Logs auf verdächtige Session-Uploads, insbesondere Pfade wie /customer/address_file/upload – von Sicherheitsforschern als Angriffsvektor genannt. sansec.io
  • Ändern Sie möglichst bald Ihre Secret Keys bzw. Session Keys und Zugangsdaten – im Fall eines bisherigen Einbruchs.
  • Reduzieren Sie bis zur vollständigen Patch-Installation weitere Risiken: Hintergrundprozesse deaktivieren, Admin Zugriff einschränken, unnötige Module abschalten.

4. Forensik & Monitoring

  • Prüfen Sie, ob Ihr System bereits kompromittiert wurde (z. B. durch Web-Shells, unbekannte PHP Dateien, ungewöhnliche Sessions). JetRails Managed Hosting
  • Setzen Sie ein Monitoring auf, das ungewöhnliche Aktivitäten wie massenhafte Session-Erstellungen oder unbekannte Uploads erkennt.
  • Legen Sie einen Incident-Plan fest: Backups, Wiederherstellung, Kommunikation mit Kunden.

5. Langfristige Sicherheitsstrategie

  • Führen Sie regelmäßige Updates und Wartungen ein (nicht erst bei kritischen Lücken).
  • Nutzen Sie Sicherheits-Scanner und lassen Sie externe Penetration-Tests durchführen.
  • Minimieren Sie Dritt-Module und Extensions – jedes Modul kann potenziell neue Angriffsfläche schaffen.
  • Schulen Sie Ihre Entwickelnden und Betreiber über Sicherheit, Session-Management, API-Risiken.
  • Dokumentieren Sie Ihre Shops und Infrastruktur – As-Built Übersicht hilft im Ernstfall.

Fazit

Die Sicherheitslücke SessionReaper (CVE-2025-54236) ist kein theoretisches Risiko mehr – sie ist aktuell, hochkritisch und bereits Ziel von automatisierten Angriffen. Wer als Händler oder Agentur jetzt nicht schnell handelt, setzt Kunden, Umsätze und Marke in Gefahr.
Mit der richtigen Kombination aus Patch-Installation, Zwischen-Absicherung und langfristiger Sicherheitsstrategie können Sie das Risiko jedoch kontrolliert managen. Nutzen Sie das Thema aktuell auch für Ihre Kommunikation – z. B. in Ihrem Blog oder Newsletter – und zeigen Sie, dass Sie Sicherheit ernst nehmen.

Prüfen Sie noch heute Ihre Magento/Adobe Commerce Version – und setzen Sie das Update zur SessionReaper-Abwehr auf Ihre To-do-Liste. Falls Sie Unterstützung benötigen: Kontakt.

Vorheriger Beitrag