💥 Adobe Commerce et la faille SessionReaper : quand le luxe de la licence ne protège pas du hack

🔐 Une vulnérabilité critique à 9,1/10

Adobe vient de se prendre une jolie claque sécuritaire avec la vulnérabilité CVE-2025-54236, alias SessionReaper. Derrière ce nom presque cool, il s’agit en réalité d’un bug d’improper input validation (traduction : on n’a pas vérifié correctement ce que l’utilisateur envoyait dans ses requêtes) dans Adobe Commerce et Magento Open Source. Résultat ? Un simple appel à l’API REST peut suffire à prendre le contrôle des comptes clients.

Pas besoin d’être un génie du code ni de lancer un 0-day sophistiqué : on parle d’un exploit non authentifié, sans interaction de l’utilisateur. Score CVSS ? 9.1/10 – autrement dit, « critique », rouge écarlate sur l’échelle de la honte.

💸 Adobe Commerce : solution premium, failles low-cost

Ce qui pique encore plus, c’est que cette vulnérabilité frappe de plein fouet un produit vendu au prix fort. Depuis qu’Adobe a racheté Magento, la solution « open source » s’est vue progressivement enfermée dans une logique commerciale de licences, abonnements, add-ons et extensions payantes.

👉 Résultat : les marchands déboursent parfois plusieurs dizaines de milliers d’euros par an pour faire tourner leur boutique. On leur vend la sécurité, la scalabilité et la « tranquillité d’esprit ». Mais la réalité, c’est qu’une faille critique peut rendre leur investissement… aussi sûr qu’une boutique en ligne codée à la va-vite sur un forum warez en 2008.

🧨 Les versions concernées

Petite liste (non exhaustive) des victimes de SessionReaper :

• Adobe Commerce 2.4.9-alpha2 et versions antérieures (jusqu’à 2.4.4-p15).
• Adobe Commerce B2B 1.5.3-alpha2 et antérieures.
• Magento Open Source mêmes versions que Commerce.
• Module Custom Attributes Serializable (0.1.0 à 0.4.0).

En clair : si vous n’êtes pas à jour, vos clients risquent de se faire dépouiller en un clic.

🛠️ Les rustines en urgence

Adobe a sorti en catastrophe un correctif hors cycle (c’est dire si ça sentait la panique). Un patch baptisé VULN-32437-2-4-X-patch est dispo pour colmater la brèche. Les utilisateurs doivent aussi mettre à jour leur module Custom Attributes Serializable en ≥ 0.4.0.

Côté infrastructures cloud, Adobe a activé un WAF de fortune histoire de gagner du temps. Traduction : si vous payez déjà la licence hors de prix, Adobe vous offre en prime… un firewall temporaire. Quelle générosité ! 🙃

🕵️ Exploitabilité et risques réels

Selon les chercheurs de Sansec, spécialistes du piratage e-commerce, la faille ne s’arrête pas au simple détournement de session. Dans certains cas (quand le stockage des sessions repose sur le système de fichiers), elle pourrait même mener à une exécution de code à distance non authentifiée (RCE).

➡️ Traduction pour les commerçants : votre boutique en ligne peut se transformer en bac à sable pour attaquants, avec accès total à vos données clients, commandes, voire à l’infrastructure serveur.

📜 Historique : Magento, abonné aux catastrophes

Il ne s’agit pas d’un accident isolé. L’histoire de Magento est une succession de failles mémorables :

• Shoplift (2015) – faille SQLi exploitée massivement.
• Ambionics SQLi (2019) – encore une injection.
• TrojanOrder (2022) – RCE via template injection.
• CosmicSting (2024) – compromission massive des boutiques non patchées.

Et maintenant SessionReaper (2025), qui vient compléter ce joli tableau. À ce rythme, on pourrait presque proposer un calendrier de l’Avent des vulnérabilités Magento. 🎁

🛒 Ce que ça dit du e-commerce « premium »

Cette affaire illustre parfaitement le paradoxe du marché :

• On vous facture cher une solution censée être « Enterprise ready ».
• On vous vend un pack sécurité, des audits, des SLA béton…
• Et derrière, une bête erreur de validation d’entrée vous expose à une compromission totale.

💡 Moralité : payer plus cher ne vous met pas à l’abri des bugs basiques.

✅ Que faire si vous utilisez Adobe Commerce / Magento ?

1. Appliquez le patch immédiatement. Pas demain, pas la semaine prochaine. Maintenant.
2. Activez un WAF si vous ne pouvez pas patcher tout de suite.
3. Scannez vos systèmes pour détecter toute compromission passée (Sansec recommande eComscan).
4. Changez vos clés cryptographiques si vous soupçonnez une exploitation.

🎯 Conclusion : sécurité vendue séparément

La faille SessionReaper est un rappel brutal : investir dans une plateforme e-commerce « premium » n’est pas une garantie de sécurité. Les marchands qui pensaient avoir payé leur tranquillité d’esprit découvrent que la réalité est bien différente : les vulnérabilités critiques n’épargnent personne, pas même les solutions les plus chères du marché.

Alors oui, Adobe a patché vite. Mais quand on met le prix d’une Tesla pour un CMS, on est en droit d’attendre mieux qu’un correctif panique et un WAF bricolé. 🚗💻

👉 Moralité : gardez toujours un œil critique sur vos fournisseurs, même (surtout) quand ils affichent des tarifs stratosphériques. Dans le cyber comme ailleurs, le marketing ne corrige pas les failles.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com