Session Reaper Bug – kritischer Bug in Magento Onlineshop (CVE-2025-54236)

Eben kam die Info bei uns an, dass es leider wieder einen kritischen Magento Sicherheitsbug gibt. Es handelt sich dabei um den "Session Reaper" Bug. Wie genau dieser funktioniert, ist aktuell noch nicht beschrieben.

Update 29.10.2025 - Extrem kritisch - vollautomatisch Angriffe laufen(!)

Das Sicherheitsloch wird massiv ausgenutzt und vollautomatische Angriffe laufen auf Magento Onlineshops. Gefühlt jeder Shop der irgendwo erreichbar ist bekommt die Stufe 1 des Angriffs ab wo die problematischen Dateien auf dem Webserver erstellt werden. Die folgenden Stufen werden wohl durch den Patch gestoppt. Stufe 1 führt aber bereits zur Erstellung verseuchter Dateien auf dem Webserver.

Sansec schreibt zu dem Angriff vom 26ten Oktober 2025

"Oct 26th: Mass attacks have hit 49% of all stores, we estimate that 16-18% of all Magento stores now have one or more backdoors injected."
https://sansec.io/research/sessionreaper

Leider gibt es von Adobe oder anderen Anbietern scheinbar keinen Patch/Fix um Stufe 1 des Angriffs (Erstellung der Dateien vgl. Sansec Artikel) bereits zu stoppen. Wir haben daher ein Hotfix erstellt um das Ausführen des Controllers (/customer/address_file/upload) zu verhindern. Ein Hoster es ähnlich gemacht und blockiert auch direkt das Ausführen.

Wenn Sie bei sich diese entsprechenden Dateien finden (und den Patch installiert hatten/haben) bietet es sich an den Hoster zu kontaktieren bzw. selbst den Controller lahmzulegen. Ansonsten können theoretisch sofort wieder die Dateien erstellt werden. Es fehlt aktuell schlicht der Patch von Adobe dazu.

Update 22.10.2025 - Patch ist super kritisch wird aktiv ausgenutzt - nur 3 von 5 Shops gepatcht!

Der Patch ist super kritisch und wird nun laut Sanec aktiv ausgenutzt. Dazu sind 3 von 5 Shops weiterhin NICHT gepatcht. Sansec hat dazu weitere Informationen im Blogpost wie vorzugehen ist.

https://sansec.io/research/sessionreaper-exploitation

Wo gibt es ausführliche Informationen zum Patch und Sicherheitsloch?

Auf der Seite von Sansec gibt des den Blogpost mit allen aktuell bekannten Informationen https://sansec.io/research/sessionreaper

Wo gibt es den Patch?

Der Patch wird von Adobe am 09.09.2025 angeblich gegen 15:00 veröffentlicht und wird dann hier zu finden sein https://helpx.adobe.com/security/products/magento.htm

update: 09.09.2025 - Patch veröffentlich

Der Patch wurde veröffentlicht und Ort kann hier gefunden werden https://sansec.io/research/sessionreaper

Wie aufwändig ist das Einspielen des Patches?

Das Einspielen selbst benötigt keine speziellen Maßnahmen. Bei uns hat es ca. 30 Minuten je Shop gedauert den Patch einzuspielen und produktiv zu bringen. Nicht enthalten sind dort ausführliche Testläufe oder ähnliches.

Gibt es bekannte Probleme?

Uns sind bisher keine Probleme beim Einspielen des Patches bekannt. Falls Sie Probleme hatten oder finden, teilen Sie uns diese gerne in den Kommentaren mit.

Was ist der Session Reaper Bug?

Aktuell gibt Sansec noch keiner genauere Informationen dazu herraus. Sansec warnt jedoch extrem deutlich davor, dass dies ein kritischer Bug ist und setzt diesen in Verhältnis zu den anderen Bugs wie Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) und CosmicSting (2024) wo jedes Mal zigtausende Shops vollautomatisch gehackt wurden.

Der Patch fixt ein Problem in Sessions und der API. Genauere Informationen hat Sansec auf deren Website (https://sansec.io/research/sessionreaper)