CVE-2025-49554: Vulnerabilidad crítica en Magento/Adobe Commerce
Admin
August 29, 2025
Translate to:
Gravedad: Crítica (CVSS 7.5)
Tipo: Validación incorrecta de entrada (Improper Input Validation, CWE-20)
Fecha de publicación: 12-14 de agosto de 2025
Estado: No se conocen exploits activos; parches disponibles
Versiones afectadas:
Tipo: Validación incorrecta de entrada (Improper Input Validation, CWE-20)
Fecha de publicación: 12-14 de agosto de 2025
Estado: No se conocen exploits activos; parches disponibles
Versiones afectadas:
- Magento Open Source: 2.4.9-alpha1, 2.4.8-p1 y anteriores
- Adobe Commerce: 2.4.9-alpha1, 2.4.8-p1 y anteriores
- Adobe Commerce B2B: 1.5.3-alpha1, 1.5.2-p1 y anteriores
Descripción técnica
- La vulnerabilidad consiste en una validación insuficiente de datos en formularios y puntos de entrada de la aplicación.
- Un atacante remoto puede enviar entradas especialmente manipuladas que provocan la denegación de servicio (DoS), causando que la aplicación se bloquee o quede no disponible.
- No se requieren permisos ni autenticación para explotar el fallo; la explotación es trivial y no requiere interacción con el usuario.
- El impacto afecta la disponibilidad del sistema, pero no a la confidencialidad ni integridad de los datos.
Impacto y escenarios de explotación
- Un atacante puede dejar fuera de servicio una instancia de Magento/Adobe Commerce, afectando comercios electrónicos y plataformas de venta online.
- El ataque puede ser lanzado desde cualquier parte, al no requerir ninguna autenticación previa.
- Sitios afectados pueden perder transacciones y daño reputacional si no aplican el parche.
Detección y mitigación
- Actualizar inmediatamente a las versiones corregidas 2.4.9+, 2.4.8-p2+, B2B 1.5.3+.
- Revisar los sistemas de validación y sanitización de formularios personalizados.
- Configurar mecanismos de protección adicional contra DoS, como firewalls y rate limiting.
- Monitorizar logs en busca de intentos de explotación con datos anómalos o tráfico excesivo en formularios.
Resumen técnico
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-49554 |
| Categoría | Validación incorrecta de entrada (CWE-20) |
| Impacto | Denegación de servicio (DoS) |
| Explotabilidad | Remoto, sin autenticación, baja complejidad |
| Versiones afectadas | Magento/Adobe Commerce < 2.4.9, B2B < 1.5.3 |
| Parche disponible | Sí; publicado agosto 2025 |
Recomendación urgente:
Actualiza tu plataforma Magento/Adobe Commerce lo antes posible. Aplica los parches oficiales de Adobe y revisa la configuración de validación en formularios y módulos personalizados para maximizar la protección ante ataques de denegación de servicio.
Actualiza tu plataforma Magento/Adobe Commerce lo antes posible. Aplica los parches oficiales de Adobe y revisa la configuración de validación en formularios y módulos personalizados para maximizar la protección ante ataques de denegación de servicio.
Comments (0)
No comments yet. Be the first to comment!