Najveća priča o sigurnosti web trgovina u zadnje vrijeme: SessionReaper (CVE-2025-54236, CVSS 9.1) pogađa Magento / Adobe Commerce. Ranjivost omogućuje preuzimanje računa i, u lošem scenariju, neautentificirani daljinski izvršni kod (RCE) — napadači kroz endpoint za upload podmeću PHP backdoore prerušene u datoteke sesije. Masovno iskorištavanje počelo je 22.10.2025.; procjenjuje se da 16–18% svih Magento trgovina već ima podmetnut backdoor.
Jeste li pogođeni?
- Nepoznate datoteke u
var/ili sumnjive "session" datoteke s PHP kodom - Nepoznate admin prijave, promjene u narudžbama ili skimmer JavaScript na naplati (krađa kartica)
- Sumnjivi zahtjevi na
/customer/address_file/uploadu logovima - Trgovina radi, ali kupci prijavljuju zloupotrebu kartica
Što napraviti odmah
- Primijenite Adobeovu hitnu zakrpu za CVE-2025-54236 (Adobe Commerce / Magento Open Source).
- Provjerite backdoore i skimmer kod; usporedite datoteke s čistom verzijom.
- Rotirajte ključeve, admin lozinke i invalidirajte sve sesije.
- Ako je trgovina bila ranjiva prije zakrpe — pretpostavite proboj i provedite forenziku.
Webshop koji krade kartice kupaca je i reputacijski i pravni rizik — reagirajte hitno.
Imate Magento trgovinu i niste sigurni je li čista? Pošaljite nam link — dijagnoza je besplatna, a javljamo se u roku od 5 minuta. Hitni popravak →
WMD — Super brza podrška.