Introdução
Pesquisadores da Oasis Security reportaram uma campanha em janeiro de 2026 que explorou a vulnerabilidade CVE‑2025‑54236 (apelidada de SessionReaper) no Magento, resultando no comprometimento de cerca de 200 sites com acesso administrativo de nível root.
O que a falha permite
CVE‑2025‑54236 é uma falha de autenticação que permite reutilização de tokens de sessão não invalidados pela aplicação Magento. Esses tokens funcionam como chaves digitais: quando não são destruídos corretamente no logout, podem ser interceptados e reaproveitados por atacantes para obter acesso como administradores legítimos, ignorando senhas e controles adicionais.
Escopo e evidências
A equipe de pesquisa identificou varreduras em larga escala que localizaram mais de 1.000 APIs Magento vulneráveis e detalhou a confirmação de compromisso de aproximadamente 200 sites, com registros estruturados de URLs vítimas, caminhos de web shell implantados e chaves de controle. Em arquivos analisados havia referências a 216 sites identificados e listagens de APIs vulneráveis (por exemplo, 1.460 entradas em arquivos de sucesso de varredura).
Como os atacantes operaram
Depois de reutilizar tokens de sessão válidos, os atacantes escalaram privilégios até obter acesso root em servidores Linux, implantando web shells que permitem execução remota de comandos persistente. Em alguns casos, os sistemas comprometidos continham arquivos sensíveis listando contas de usuários e credenciais, indicando exploração aprofundada da infraestrutura.
Infraestrutura adversária
Os investigadores vincularam infraestrutura de comando e controle em múltiplas localidades, incluindo identificação de C2s operando a partir da Finlândia e de Hong Kong. Observou‑se operação por atores distintos que atacaram alvos em regiões como Canadá e Japão.
Impacto
A gravidade do incidente é alta: controle administrativo root em plataformas e‑commerce expõe dados de clientes, informações de pagamento e possibilidade de distribuição de malware a clientes por meio de compromissos do próprio site. A campanha mostra automação e organização operacional dos atacantes, que mantinham logs detalhados dos compromissos.
Recomendações
O relatório recomenda atualização imediata das instâncias Magento afetadas e auditoria completa dos logs de sessão para detectar uso indevido de tokens. Medidas adicionais sugeridas pelo contexto do incidente incluem revisão de políticas de expiração/invalidação de sessão, varredura por web shells e verificação de integridade dos arquivos do servidor.
Alerta: organizações que operam lojas online devem assumir risco elevado até comprovarem correção integral e ausência de backdoors.
Conclusão
SessionReaper (CVE‑2025‑54236) tornou‑se vetor para uma campanha que comprometeu centenas de lojas por reutilização de tokens de sessão. A combinação de descoberta automatizada de APIs vulneráveis, escalada a root e implantação de web shells reforça a necessidade de atualizações rápidas, validação de sessões e monitoramento contínuo de plataformas de e‑commerce.