La vulnérabilité SessionReaper (CVE-2025-54236) présente dans Adobe Commerce (anciennement Magento) est désormais exploitée activement par des pirates. Quels sont les risques ? Comment se protéger ? Faisons le point.
Une faille de sécurité critique désormais exploitée
Sansec, spécialiste de la sécurité des plateformes e-commerce, a tiré la sonnette d’alarme au sujet de la CVE-2025-54236 : “Six semaines après le correctif d’urgence d’Adobe pour SessionReaper (CVE-2025-54236), la vulnérabilité est entrée dans une phase d’exploitation active.”
Initialement, un correctif de sécurité pour cette vulnérabilité a été publié le 9 septembre 2025, et l’entreprise Sansec la considérait déjà comme la vulnérabilité la plus sérieuse découverte jusqu’ici dans l’histoire de ce produit. En exploitant cette faille de type improper input validation, un attaquant peut prendre le contrôle de comptes clients sur la plateforme d’e-commerce, par l’intermédiaire de l’API Rest Commerce et sans interaction de la part d’utilisateurs.
Sansec précise que l’exploitation dépend en partie du stockage des sessions sur le système de fichiers, ce qui est la configuration par défaut de la majorité des boutiques.
Cette faille de sécurité affecte plusieurs versions d’Adobe Commerce :
2.4.9-alpha2
2.4.8-p2
2.4.7-p7
2.4.6-p12
2.4.5-p14
2.4.4-p15 et antérieures
D’ailleurs, sur le site d’Adobe, vous pouvez retrouver la liste complète des versions affectées, que ce soit pour Adobe Commerce, Adobe Commerce B2B ou Magento (Open source).
Pour les administrateurs de sites web, la recommandation est simple : installer immédiatement la mise à jour de sécurité (ou appliquer les mesures d’atténuation préconisées par Adobe).
Des centaines de tentatives d’exploitation…
Enfin, terminons par évoquer les attaques observées. De leur côté, les chercheurs de Sansec ont observé plus de 250 tentatives d’exploitation sur une seule journée, provenant principalement de cinq adresses IP malveillantes :
34.227.25.4
44.212.43.34
54.205.171.35
155.117.84.134
159.89.12.166
Lors de ces attaques, les pirates ont tenté d’injecter des webshells PHP et d’utiliser des probes phpinfo destinés à récolter des informations sur le système (notamment la valeur de certaines variables).
Ce n’est surement que le début pour deux raisons :
D’après Sansec, 62 % des boutiques Magento en ligne n’ont toujours pas appliqué le correctif. Soit 3 sites web sur 5 toujours vulnérables.
La société Searchlight Cyber vient de publier une analyse technique de la vulnérabilité, ce qui peut être un facteur aggravant et accentuer la vague d’attaques dans les prochains jours.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.