Adobe a émis un avertissement concernant une faille de sécurité critique sur ses plateformes Commerce et Magento Open Source, qui pourrait permettre à des attaquants de prendre le contrôle des comptes clients. Cette vulnérabilité, identifiée comme CVE-2025-54236 et surnommée “SessionReaper”, a un score de 9,1 sur l’échelle CVSS, ce qui indique sa haute sévérité. Selon Adobe, un attaquant potentiel pourrait exploiter cette faille via l’API REST de Commerce.
Un problème dont Adobe est conscient
La faille est décrite comme une erreur de validation d’entrée inappropriée, et bien que l’entreprise n’ait pas confirmé l’existence d’exploits dans la nature, des experts en sécurité comme la société Sansec ont indiqué qu’ils ont pu reproduire au moins une méthode pour exploiter la vulnérabilité. On considère que “SessionReaper” est l’une des vulnérabilités les plus graves de l’histoire de Magento, comparable à des incidents précédents comme Shoplift en 2015 et CosmicSting en 2024.
Adobe a répondu à cette menace en lançant un correctif et des règles de pare-feu d’applications web (WAF) afin de protéger les commerçants utilisant Adobe Commerce, spécifiquement sur l’infrastructure Cloud. La recommandation pour les commerces est de se mettre à jour rapidement, en particulier ceux qui utilisent un stockage de sessions basé sur des fichiers, bien qu’il soit conseillé à tous les commerçants utilisant des sessions Redis ou de base de données de prendre des mesures immédiates, étant donné qu’il existe de multiples façons d’abuser de la vulnérabilité.
En plus de cette vulnérabilité, Adobe a également publié des correctifs pour une faille critique dans ColdFusion, dénommée CVE-2025-54261, qui peut permettre des écritures arbitraires dans le système de fichiers, avec un score CVSS de 9.0. Cette situation met en évidence l’importance de maintenir à jour les systèmes et les applications, dans un contexte où la cybersécurité devient de plus en plus cruciale.
