Celah Berbahaya di Adobe Magento Mulai Dieksploitasi Secara Global
Komunitas keamanan siber tengah memperingatkan tentang ancaman besar terhadap pengguna platform e-commerce Adobe Magento, setelah muncul laporan bahwa peretas mulai mengeksploitasi celah Remote Code Execution (RCE) kritis yang baru ditemukan. Kerentanan ini, dikenal sebagai SessionReaper dan terdaftar sebagai CVE-2025-54236, memungkinkan penyerang yang tidak terautentikasi untuk mengambil alih sesi pelanggan dan menjalankan kode berbahaya dari jarak jauh, yang dapat berujung pada pencurian data dan kompromi sistem toko online.
Serangan terhadap kerentanan ini mulai meningkat drastis hanya enam minggu setelah Adobe merilis patch darurat, menandakan bahwa banyak pemilik toko online belum menerapkan pembaruan keamanan yang disarankan. Menurut laporan dari firma keamanan Sansec, tercatat lebih dari 250 upaya eksploitasi berhasil diblokir pada 22 Oktober 2025, dengan sumber serangan berasal dari berbagai alamat IP di seluruh dunia.
Asal Usul dan Mekanisme Celah “SessionReaper”
Kerentanan SessionReaper disebabkan oleh kegagalan validasi input pada sistem Adobe Commerce dan Magento Open Source, termasuk versi 2.4.9-alpha2 dan sebelumnya. Celah ini memengaruhi Commerce REST API, yang digunakan secara luas dalam integrasi toko online.
Celah berbahaya ini pertama kali ditemukan oleh peneliti independen Blaklis dan telah diperbaiki oleh Adobe pada 9 September 2025. Eksploitasi terjadi melalui endpoint /customer/address_file/upload, di mana penyerang dapat mengunggah file berbahaya yang disamarkan sebagai data sesi tanpa perlu autentikasi. Bug yang bersifat nested deserialization ini memungkinkan eksekusi kode jarak jauh (RCE), terutama pada sistem yang menggunakan file-based session storage, meskipun konfigurasi berbasis Redis atau database juga rentan terhadap serangan serupa.
Peneliti dari Assetnote pada 21 Oktober 2025 merilis laporan teknis lengkap disertai proof-of-concept (PoC) yang memperlihatkan bagaimana eksploit ini bekerja. Publikasi PoC tersebut secara efektif mempersempit waktu bagi administrator untuk menambal sistem mereka sebelum serangan masif dimulai.
Tingkat Keparahan dan Risiko Eksploitasi yang Meluas
Menurut Sansec, tingkat keparahan SessionReaper mencapai 9.1 pada skala CVSS, menjadikannya salah satu celah paling berbahaya dalam sejarah Magento. Ancaman ini disandingkan dengan serangan legendaris seperti CosmicSting (CVE-2024-34102) di tahun 2024, TrojanOrder (CVE-2022-24086) di tahun 2022, dan Shoplift pada 2015 — semuanya menyebabkan ribuan toko online diretas hanya beberapa hari setelah celahnya diketahui publik.
Kini, dengan detail teknis eksploit yang sudah tersebar luas, para pakar memperingatkan kemungkinan gelombang serangan otomatis dalam waktu 48 jam, karena banyak alat pemindai dan bot otomatis akan memanfaatkan kerentanan ini untuk menyerang situs yang belum diperbarui.
Meskipun Adobe telah merilis patch dan hotfix resmi, tingkat adopsinya masih tergolong rendah. Enam minggu setelah rilis patch, Sansec melaporkan hanya 38% toko Magento yang telah menerapkan perbaikan, sementara 62% sisanya — atau sekitar tiga dari lima toko — masih terbuka terhadap serangan.
Data awal pada September bahkan menunjukkan bahwa kurang dari satu dari tiga toko telah mengamankan sistem mereka. Kondisi ini memperlihatkan lemahnya kesadaran dan kecepatan pembaruan keamanan di sektor e-commerce, yang pada akhirnya membahayakan data sensitif pelanggan seperti informasi pembayaran dan kredensial akun.
Risiko Nyata bagi E-Commerce dan Urgensi Patch
Celah SessionReaper memiliki potensi dampak besar bagi industri e-commerce global. Situs yang belum menambal sistemnya berisiko menjadi target utama untuk serangan credential stuffing, malware injection, hingga gangguan rantai pasokan (supply chain disruption).
Sansec mengungkapkan bahwa eksploitasi aktif telah dilacak berasal dari beberapa alamat IP seperti 34.227.25.4, 44.212.43.34, 54.205.171.35, 155.117.84.134, dan 159.89.12.166. Serangan-serangan ini diketahui mengirimkan payload untuk memeriksa konfigurasi server atau bahkan menginstal backdoor guna memperoleh akses jangka panjang ke sistem korban.
Langkah Mitigasi dan Pertahanan yang Direkomendasikan
Untuk mencegah kerugian lebih lanjut, pemilik toko online disarankan segera menerapkan patch resmi dari Adobe atau memperbarui ke versi Magento terbaru. Petunjuk teknis lengkap tersedia di Adobe Developer Guide.
Bagi yang belum dapat memperbarui sistemnya secara langsung, aktivasi Web Application Firewall (WAF) menjadi langkah penting untuk perlindungan sementara. Sansec Shield, misalnya, telah mendeteksi dan memblokir eksploit SessionReaper sejak hari pertama ditemukannya celah ini. Perusahaan tersebut bahkan menawarkan perlindungan gratis selama satu bulan melalui kode kupon “SESSIONREAPER” sebagai bentuk respons cepat terhadap ancaman ini.
Sansec juga mengimbau para pemilik toko untuk memantau aktivitas mencurigakan dan mengikuti pembaruan di dasbor serangan langsung (live attack dashboard) yang mereka sediakan, guna memastikan deteksi dini terhadap upaya eksploitasi.
Kesimpulan: Ancaman Lama, Wajah Baru
Eksploitasi aktif terhadap CVE-2025-54236 (SessionReaper) menunjukkan bahwa dunia siber masih berhadapan dengan tantangan klasik — keterlambatan dalam penerapan patch keamanan. Walau Adobe telah bergerak cepat merilis pembaruan, fakta bahwa mayoritas toko online masih belum melindungi diri mereka membuktikan betapa rentannya ekosistem digital terhadap serangan modern.
Dengan tingkat keparahan yang nyaris maksimal dan kemudahan eksploitasi yang tinggi, SessionReaper menjadi pengingat keras bahwa patching bukanlah pilihan, melainkan kewajiban. Kegagalan memperbarui sistem bisa berarti kehilangan data pelanggan, reputasi bisnis, dan kepercayaan konsumen — aset yang jauh lebih berharga daripada waktu yang dibutuhkan untuk mengamankan situs.