Source: Sansec Forensics Team (sansec.io) — Dans une publication de Threat Research (8 sept. 2025, mise à jour 9 sept.), Sansec détaille « SessionReaper » (CVE-2025-54236), une vulnérabilité critique (score 9,1) touchant toutes les versions d’Adobe Commerce et Magento. Adobe a rompu son cycle habituel pour publier un correctif d’urgence (APSB25-88), après une fuite accidentelle du patch la semaine précédente.

🚨 Impact: L’avis officiel d’Adobe évoque une prise de contrôle de comptes clients, tandis que le découvreur de la faille, Blaklis, confirme un potentiel RCE pré-auth (« Please patch ASAP »). Sansec met en parallèle la sévérité de SessionReaper avec Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) et CosmicSting (2024), incidents où des milliers de boutiques ont été compromises en quelques heures. Sansec n’a pas encore observé d’exploitation active au moment de la publication, mais anticipe des abus automatisés.

🗓️ Timeline:

  • 22 août: discussion interne chez Adobe autour d’un correctif d’urgence
  • 4 sept.: annonce privée du correctif à des clients Commerce sélectionnés
  • 9 sept.: publication du patch d’urgence pour CVE-2025-54236 dans APSB25-88

🛡️ Mesures pour les marchands:

  • Utilisateurs de Sansec Shield: protection annoncée contre cet attaquant.
  • Sinon: tester et déployer le patch au plus vite; le correctif désactive des fonctionnalités internes de Magento, pouvant casser des intégrations/customisations (Adobe fournit un guide développeur).
  • Si impossible de patcher sous 24h: activer un WAF; seuls Adobe Fastly et Sansec Shield bloquent actuellement cette attaque.
  • Si patch appliqué après 24h: exécuter un scan malware (ex. eComscan) pour signes de compromission et faire tourner la clé secrète (crypt key), dont la fuite permettrait des mises à jour persistantes des blocs CMS.

🔍 TTPs mentionnées:

  • Chaîne d’attaque apparentée à CosmicSting (2024): session malveillante combinée à une désérialisation imbriquée via l’API REST de Magento.
  • Le vecteur RCE spécifique semble requérir un stockage de session basé fichier; Sansec note que des abus multiples restent possibles même avec sessions Redis ou base de données.

IOCs: aucun indicateur de compromission partagé dans l’article.

Il s’agit d’un patch de sécurité / alerte de vulnérabilité visant à annoncer le correctif d’Adobe, qualifier l’impact et guider les marchands sur les mesures immédiates.

🔗 Source originale : https://sansec.io/research/sessionreaper

🖴 Archive : https://web.archive.org/web/20250910170818/https://sansec.io/research/sessionreaper