Alerta de Vulnerabilidade - Adobe Commerce / Magento Open Source

Vulnerabilidade crítica CVE-2025-54236/EUVD-2025-27277 de validação incorreta de dados na API REST dos sistemas Adobe Commerce e do Magento Open Source, especificamente no endpoint "/customer/address_file/upload" [1][2][3].

A vulnerabilidade encontra-se presente no componente ServiceInputProcessor, que não valida corretamente os parâmetros fornecidos através da API REST, permitindo a deserialização de objetos PHP arbitrários [1][2].

As seguintes versões são afetadas [1]:

Adobe Commerce:

• 2.4.9-alpha2 e anteriores
• 2.4.8-p2 e anteriores
• 2.4.7-p7 e anteriores
• 2.4.6-p12 e anteriores
• 2.4.5-p14 e anteriores
• 2.4.4-p15 e anteriores

Adobe Commerce B2B:

• 1.5.3-alpha2 e anteriores
• 1.5.2-p2 e anteriores
• 1.4.2-p7 e anteriores
• 1.3.4-p14 e anteriores
• 1.3.3-p15 e anteriores

Magento Open Source:

• 2.4.9-alpha2 e anteriores
• 2.4.8-p2 e anteriores
• 2.4.7-p7 e anteriores
• 2.4.6-p12 e anteriores
• 2.4.5-p14 e anteriores

Quando explorada com sucesso, esta vulnerabilidade permite a um atacante remoto e sem autenticação obter a sessão de contas de clientes através da API REST.

Em determinadas condições (nomeadamente quando os dados de sessão são armazenados no sistema de ficheiros -  configuração adotada pela maioria das instalações), a exploração pode ainda conduzir à execução remota de código (RCE) sem interação do utilizador, podendo permitir o controlo total sobre o servidor [2][3][4].
Recomenda-se a aplicação imediata da atualização de segurança disponibilizada pela Adobe através do boletim APSB25-88 [1].

Medidas adicionais recomendadas [4]:

• Caso não seja possível atualizar imediatamente, implementar regras de Web Application Firewall (WAF) para mitigar tentativas de exploração;
• Rever os logs do servidor de forma a identificar pedidos POST anómalos ao endpoint "/customer/address_file/upload";
• Remover quaisquer ficheiros PHP não autorizados ou webshells eventualmente presentes no servidor;
• Proceder à rotação de credenciais administrativas e de clientes.

Nota:
A atualização APSB25-88 [1] corrige apenas o problema de deserialização insegura, não a possibilidade de fazer uploads arbitrários de ficheiros através da API REST - problema identificado separadamente. Não existe, à data, uma correção oficial para as versões de produção do Adobe Commerce e Magento Open Source para este problema específico. A correção está disponível apenas na versão pré-lançamento 2.4.9 [5]. Neste sentido, recomenda-se adicionalmente também [5]:

• Restringir o acesso público ao diretório pub/media/custom_options/ ao nível do servidor web, de forma a impedir que ficheiros aí presentes sejam executados;
• Implementar regras de WAF para bloquear os endpoints da API REST vulneráveis;
• Auditar o diretório "pub/media/custom_options/" de forma a identificar ficheiros suspeitos e removê-los.

[1] - https://helpx.adobe.com/security/products/magento/apsb25-88.html
[2] - https://nvd.nist.gov/vuln/detail/CVE-2025-54236
[3] - https://euvd.enisa.europa.eu/vulnerability/CVE-2025-54236
[4] - https://www.rescana.com/post/over-250-magento-and-adobe-commerce-stores-compromised-via-cve-2025-54236-sessionreaper-vulnerabilit
[5] - https://sansec.io/research/magento-polyshell