Nuova Patch per Magento: CVE-2025-54236 (09/09/25)

Patch di Emergenza per Magento: CVE-2025-54236 (SessionReaper) – Aggiorna Subito il Tuo Store

Adobe ha rilasciato il 9 settembre una patch di sicurezza critica per Magento, volta a correggere la vulnerabilità CVE-2025-54236, soprannominata “SessionReaper”. Questa falla di sicurezza ad alta gravità richiede un intervento immediato da parte di tutti i proprietari di store Magento.

La Minaccia SessionReaper

La vulnerabilità CVE-2025-54236 rappresenta una seria minaccia per l’ecosistema e-commerce basato su Magento. Adobe ha deciso di rilasciare questa patch al di fuori del normale ciclo di aggiornamenti, sottolineando l’urgenza della situazione e la gravità del rischio.

Il nome “SessionReaper” suggerisce che la vulnerabilità sia legata alla gestione delle sessioni utente, un componente critico per la sicurezza degli store online che gestisce l’autenticazione e l’autorizzazione degli utenti.

Precedenti Storici Preoccupanti

La storia di Magento è purtroppo segnata da vulnerabilità critiche che sono state sfruttate massivamente in tempi brevissimi:

Shoplift (2015): Una delle prime grandi vulnerabilità che ha compromesso migliaia di negozi online
Ambionics SQLi (2019): Vulnerabilità di SQL injection che ha permesso l’accesso non autorizzato ai database
TrojanOrder (2022): Falla che consentiva la manipolazione degli ordini e dei pagamenti
CosmicSting (2024): La più recente vulnerabilità critica prima di SessionReaper

Tutti questi incidenti hanno una caratteristica comune: sono stati sfruttati da cybercriminali nel giro di poche ore dalla loro divulgazione pubblica, causando danni enormi a migliaia di store online.

Chi è a Rischio

La vulnerabilità CVE-2025-54236 colpisce tutte le versioni di Magento superiori alla 2.3.1. Questo significa che la stragrande maggioranza degli store Magento attualmente in produzione è potenzialmente a rischio, considerando che la versione 2.3.1 è stata rilasciata nel 2019.

Se il tuo store utilizza una delle seguenti versioni, devi agire immediatamente:

Magento 2.3.2 e successive
Magento 2.4.x (tutte le versioni)
Adobe Commerce (tutte le versioni basate su Magento 2.3.2+)

Azioni Immediate da Intraprendere

Applica la patch il prima possibile. Non rimandare questo aggiornamento critico, poiché ogni ora di ritardo aumenta esponenzialmente il rischio di compromissione del tuo store.

Prima di procedere con l’installazione:

Effettua un backup completo del tuo store, inclusi database e file
Testa la patch in un ambiente di sviluppo se possibile
Pianifica la manutenzione durante gli orari di minor traffico
Prepara un piano di rollback in caso di problemi

Verifica l’installazione corretta della patch controllando i log di sistema e testando le funzionalità principali del tuo store dopo l’aggiornamento.

Monitoraggio e Prevenzione

Dopo aver applicato la patch, è fondamentale:

Monitorare i log di accesso per attività sospette
Verificare l’integrità dei dati sensibili
Implementare sistemi di monitoraggio proattivo
Mantenere sempre aggiornati tutti i componenti del sistema

Considerazioni per il Futuro

Questo ennesimo episodio sottolinea l’importanza di mantenere una strategia di sicurezza proattiva per il tuo e-commerce. Considera l’implementazione di:

Sistemi di monitoraggio automatico delle vulnerabilità
Procedure standardizzate per l’applicazione rapida delle patch
Backup automatici e frequenti
Ambienti di test dedicati per validare gli aggiornamenti

La sicurezza del tuo store Magento non è un’opzione, ma una necessità assoluta per proteggere i tuoi clienti e il tuo business dalle crescenti minacce informatiche.

Se hai bisogno di assistenza o hai bisogno di installare la patch contattaci qui:
https://www.espertomagent.it/richiesta-informazioni/

Cookie	Durata	Descrizione
_mcid	1 year	This is a Mailchimp functionality cookie used to evaluate the UI/UX interaction with its platform
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.
twk_idm_key	session	Tawk set this cookie to allow the website to recognise the visitor in order to optimize the chat-box functionality.

Cookie	Durata	Descrizione
_ga	2 anni	Registra un ID univoco utilizzato per generare dati statistici su come il visitatore utilizza il sito internet.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gat	1 giorno	Utilizzato da Google Analytics per limitare la frequenza delle richieste
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_54429463_1	1 minute	Set by Google to distinguish users.
_gid	1 giorno	Registra un ID univoco utilizzato per generare dati statistici su come il visitatore utilizza il sito internet.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjSession_*	1 hour	Hotjar sets this cookie to ensure data from subsequent visits to the same site is attributed to the same user ID, which persists in the Hotjar User ID, which is unique to that site.
_hjSessionUser_*	1 year	Hotjar sets this cookie to ensure data from subsequent visits to the same site is attributed to the same user ID, which persists in the Hotjar User ID, which is unique to that site.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
collect		Utilizzato per inviare dati a Google Analytics in merito al dispositivo e al comportamento dell'utente. Tiene traccia dell'utente su dispositivi e canali di marketing.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
_hjSession_2175196	30 minutes	No description
_hjSessionUser_2175196	1 year	No description
_mc_anon_id	past	Description is currently not available.

Cookie	Durata	Descrizione
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.

EspertoMagento.it

Nuova Patch per Magento: CVE-2025-54236 (09/09/25)

Patch di Emergenza per Magento: CVE-2025-54236 (SessionReaper) – Aggiorna Subito il Tuo Store

La Minaccia SessionReaper

Precedenti Storici Preoccupanti

Chi è a Rischio

Azioni Immediate da Intraprendere

Monitoraggio e Prevenzione

Considerazioni per il Futuro

Lascia un commento Annulla risposta

EspertoMagento.it

Nuova Patch per Magento: CVE-2025-54236 (09/09/25)

Patch di Emergenza per Magento: CVE-2025-54236 (SessionReaper) – Aggiorna Subito il Tuo Store

La Minaccia SessionReaper

Precedenti Storici Preoccupanti

Chi è a Rischio

Azioni Immediate da Intraprendere

Monitoraggio e Prevenzione

Considerazioni per il Futuro

Post navigation

Lascia un commento Annulla risposta