10 septembre 2025 – Adobe a publié un correctif en urgence pour une faille critique, surnommée SessionReaper, identifiée dans les plateformes Adobe Commerce et Magento Open Source. Cette vulnérabilité pourrait permettre à un attaquant de compromettre des comptes clients via l’API REST, sans aucune authentification. (turn0search0, turn0search1)
Nature et impact de la vulnérabilité
Type de faille : Validation incorrecte des entrées (Improper Input Validation — CWE-20), permettant une prise de contrôle de session utilisateur via l’API REST.
Gravité : Critique — CVSS 3.1 score de 9,1/10. Aucun besoin d’authentification ou de privilèges administrateur. (turn0search1)
Platforms affectées :
Adobe Commerce (toutes méthodes de déploiement) versions jusqu’à 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, jusqu’à 2.4.4-p15 inclus.
Adobe Commerce B2B versions jusqu’à 1.5.3-alpha2, 1.5.2-p2, etc.
Magento Open Source versions jusqu’à 2.4.9-alpha2, 2.4.8-p2, etc.
Module Custom Attributes Serializable versions 0.1.0 à 0.4.0. (turn0search0, turn0search3)
Adobe Commerce sur Cloud bénéficie de règles WAF déployées par Adobe pour mitiger temporairement cette vulnérabilité. (turn0search3)
Calendrier et contexte d’intervention
8 septembre : Sansec publie une alerte et compare la vulnérabilité à des failles historiques majeures du CMS Magento (Shoplift, Ambionics SQLi, TrojanOrder, CosmicSting). (turn0search5)
9 septembre : Adobe publie un correctif d’urgence (bulletin de sécurité APSB25-88), hors calendrier habituel. (turn0search15, turn0search1)
Risque aggravé : le correctif original a fuité prématurément, augmentant les chances d’exploit automatisé. (turn0search5)
Tableau de synthèse
| Élément | Détail |
|---|---|
| Nom de la faille | SessionReaper (CVE-2025-54236) |
| Type | Improper Input Validation (CWE-20) |
| Impact | Prise de contrôle de session via API REST, sans interaction ni authentification |
| Score CVSS | 9.1 / 10 |
| Produits concernés | Adobe Commerce, Adobe Commerce B2B, Magento Open Source, module Custom Attributes Serializable |
| Statut exploitabilité | Aucune exploitation observée à ce jour, mais risque élevé d’abus automatisé |
| Mesures temporaires | WAF déployé sur Cloud, hotfix disponible |
Conseils pour les équipes techniques
Appliquer le hotfix sans délai (VULN-32437-2-4-X-patch) sur toutes les versions affectées.
Activer ou renforcer les WAF — notamment Adobe Fastly ou Sansec Shield, bloquant le vecteur dès maintenant. (turn0search5)
Vérifier la configuration de stockage des sessions (fichiers systèmes par défaut) — élément possible du vecteur d’attaque. (turn0search7)
Surveiller les activités post-patch via scanner eComscan et rotation des clés secrètes pour verrouiller la compromission de données. (turn0search5)
Tester l’intégrité des APIs REST et des accès sessions côté frontend via revue de code et tests de pénétration.
Conclusion
SessionReaper (CVE-2025-54236) est l’une des vulnérabilités les plus alarmantes détectées dans Magento à ce jour, présentant un risque grave pour la sécurité des comptes clients des boutiques en ligne. Adobe a réagi rapidement pour corriger et mitiger le risque, mais l’arrivée possible d’exploits automatisés rend l’application immédiate du correctif impérative.