🔐 Une vulnérabilité critique à 9,1/10
Adobe vient de se prendre une jolie claque sécuritaire avec la vulnérabilité CVE-2025-54236, alias SessionReaper. Derrière ce nom presque cool, il s’agit en réalité d’un bug d’improper input validation (traduction : on n’a pas vérifié correctement ce que l’utilisateur envoyait dans ses requêtes) dans Adobe Commerce et Magento Open Source. Résultat ? Un simple appel à l’API REST peut suffire à prendre le contrôle des comptes clients.
Pas besoin d’être un génie du code ni de lancer un 0-day sophistiqué : on parle d’un exploit non authentifié, sans interaction de l’utilisateur. Score CVSS ? 9.1/10 – autrement dit, « critique », rouge écarlate sur l’échelle de la honte.
💸 Adobe Commerce : solution premium, failles low-cost
Ce qui pique encore plus, c’est que cette vulnérabilité frappe de plein fouet un produit vendu au prix fort. Depuis qu’Adobe a racheté Magento, la solution « open source » s’est vue progressivement enfermée dans une logique commerciale de licences, abonnements, add-ons et extensions payantes.
👉 Résultat : les marchands déboursent parfois plusieurs dizaines de milliers d’euros par an pour faire tourner leur boutique. On leur vend la sécurité, la scalabilité et la « tranquillité d’esprit ». Mais la réalité, c’est qu’une faille critique peut rendre leur investissement… aussi sûr qu’une boutique en ligne codée à la va-vite sur un forum warez en 2008.
🧨 Les versions concernées
Petite liste (non exhaustive) des victimes de SessionReaper :
- Adobe Commerce 2.4.9-alpha2 et versions antérieures (jusqu’à 2.4.4-p15).
- Adobe Commerce B2B 1.5.3-alpha2 et antérieures.
- Magento Open Source mêmes versions que Commerce.
- Module Custom Attributes Serializable (0.1.0 à 0.4.0).
En clair : si vous n’êtes pas à jour, vos clients risquent de se faire dépouiller en un clic.
🛠️ Les rustines en urgence
Adobe a sorti en catastrophe un correctif hors cycle (c’est dire si ça sentait la panique). Un patch baptisé VULN-32437-2-4-X-patch est dispo pour colmater la brèche. Les utilisateurs doivent aussi mettre à jour leur module Custom Attributes Serializable en ≥ 0.4.0.
Côté infrastructures cloud, Adobe a activé un WAF de fortune histoire de gagner du temps. Traduction : si vous payez déjà la licence hors de prix, Adobe vous offre en prime… un firewall temporaire. Quelle générosité ! 🙃
🕵️ Exploitabilité et risques réels
Selon les chercheurs de Sansec, spécialistes du piratage e-commerce, la faille ne s’arrête pas au simple détournement de session. Dans certains cas (quand le stockage des sessions repose sur le système de fichiers), elle pourrait même mener à une exécution de code à distance non authentifiée (RCE).
➡️ Traduction pour les commerçants : votre boutique en ligne peut se transformer en bac à sable pour attaquants, avec accès total à vos données clients, commandes, voire à l’infrastructure serveur.
📜 Historique : Magento, abonné aux catastrophes
Il ne s’agit pas d’un accident isolé. L’histoire de Magento est une succession de failles mémorables :
- Shoplift (2015) – faille SQLi exploitée massivement.
- Ambionics SQLi (2019) – encore une injection.
- TrojanOrder (2022) – RCE via template injection.
- CosmicSting (2024) – compromission massive des boutiques non patchées.
Et maintenant SessionReaper (2025), qui vient compléter ce joli tableau. À ce rythme, on pourrait presque proposer un calendrier de l’Avent des vulnérabilités Magento. 🎁
🛒 Ce que ça dit du e-commerce « premium »
Cette affaire illustre parfaitement le paradoxe du marché :
- On vous facture cher une solution censée être « Enterprise ready ».
- On vous vend un pack sécurité, des audits, des SLA béton…
- Et derrière, une bête erreur de validation d’entrée vous expose à une compromission totale.
💡 Moralité : payer plus cher ne vous met pas à l’abri des bugs basiques.
✅ Que faire si vous utilisez Adobe Commerce / Magento ?
- Appliquez le patch immédiatement. Pas demain, pas la semaine prochaine. Maintenant.
- Activez un WAF si vous ne pouvez pas patcher tout de suite.
- Scannez vos systèmes pour détecter toute compromission passée (Sansec recommande eComscan).
- Changez vos clés cryptographiques si vous soupçonnez une exploitation.
🎯 Conclusion : sécurité vendue séparément
La faille SessionReaper est un rappel brutal : investir dans une plateforme e-commerce « premium » n’est pas une garantie de sécurité. Les marchands qui pensaient avoir payé leur tranquillité d’esprit découvrent que la réalité est bien différente : les vulnérabilités critiques n’épargnent personne, pas même les solutions les plus chères du marché.
Alors oui, Adobe a patché vite. Mais quand on met le prix d’une Tesla pour un CMS, on est en droit d’attendre mieux qu’un correctif panique et un WAF bricolé. 🚗💻
👉 Moralité : gardez toujours un œil critique sur vos fournisseurs, même (surtout) quand ils affichent des tarifs stratosphériques. Dans le cyber comme ailleurs, le marketing ne corrige pas les failles.
