CVE-2025-54236

Selon BleepingComputer, des pirates exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) touchant les plateformes Adobe Commerce (ex‑Magento), avec des centaines de tentatives déjà enregistrées. ⚠️ Exploitation active de la faille critique “SessionReaper” dans Adobe Commerce (Magento) Des chercheurs de Sansec alertent sur une campagne d’exploitation active de la vulnérabilité critique CVE-2025-54236, surnommée SessionReaper, affectant les plateformes Adobe Commerce (anciennement Magento). Plus de 250 tentatives d’attaque ont déjà été détectées en une seule journée, ciblant plusieurs boutiques en ligne. ...

Source: Searchlight Cyber (slcyber.io). Contexte: billet de recherche technique de Tomais Williamson analysant CVE-2025-54236 (« SessionReaper ») dans Magento/Adobe Commerce, son patch, et un enchaînement d’exploitation conduisant à une exécution de code à distance non authentifiée sur certaines configurations. • Nature de la faille: bypass de fonctionnalité de sécurité menant à une désérialisation imbriquée dans l’API Web de Magento. Adobe qualifie l’issue de « security feature bypass », mais la recherche montre un impact critique: RCE sur les instances utilisant un stockage de session basé sur fichiers; des configurations non-fichier (ex. Redis) peuvent aussi être concernées mais différemment. ...

Source: Sansec Forensics Team (sansec.io) — Dans une publication de Threat Research (8 sept. 2025, mise à jour 9 sept.), Sansec détaille « SessionReaper » (CVE-2025-54236), une vulnérabilité critique (score 9,1) touchant toutes les versions d’Adobe Commerce et Magento. Adobe a rompu son cycle habituel pour publier un correctif d’urgence (APSB25-88), après une fuite accidentelle du patch la semaine précédente. 🚨 Impact: L’avis officiel d’Adobe évoque une prise de contrôle de comptes clients, tandis que le découvreur de la faille, Blaklis, confirme un potentiel RCE pré-auth (« Please patch ASAP »). Sansec met en parallèle la sévérité de SessionReaper avec Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) et CosmicSting (2024), incidents où des milliers de boutiques ont été compromises en quelques heures. Sansec n’a pas encore observé d’exploitation active au moment de la publication, mais anticipe des abus automatisés. ...