Les pirates exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) dans les plates-formes Adobe Commerce (anciennement Magento), avec des centaines de tentatives enregistrées.
L’activité a été repérée par la société de sécurité du commerce électronique Sansec, dont les chercheurs ont précédemment décrit SessionReaper comme l’un des bogues de sécurité les plus graves de l’histoire du produit.
Adobe a mis en garde contre CVE-2025-54236 le 8 septembre, affirmant qu’il s’agissait d’une vulnérabilité de validation d’entrée incorrecte qui affectait les versions Commerciales 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 (et antérieures).
Un attaquant exploitant avec succès la faille peut prendre le contrôle des sessions de compte sans aucune interaction de l’utilisateur.
« Un attaquant potentiel pourrait s’emparer des comptes clients dans Adobe Commerce via l’API Commerce REST », explique Adobe.
Sansec a précédemment déclaré qu’une exploitation réussie dépend probablement du stockage des données de session sur le système de fichiers, la configuration par défaut utilisée par la plupart des magasins, et qu’un correctif divulgué du fournisseur pourrait fournir des indices sur la façon dont il peut être exploité..
Environ six semaines après la disponibilité du correctif d’urgence pour SessionReaper, Sansec confirme une exploitation active dans la nature.
« Six semaines après le correctif d’urgence d’Adobe pour SessionReaper (CVE-2025-54236), la vulnérabilité est entrée en exploitation active », lit-on dans le bulletin de Sansec.
« Sansec Shield a détecté et bloqué les premières attaques du monde réel aujourd’hui, ce qui est une mauvaise nouvelle pour les milliers de magasins qui ne sont pas corrigés », ont déclaré les chercheurs.
Rien qu’aujourd’hui, Sansec a bloqué plus de 250 tentatives d’exploitation de SessionReaper ciblant plusieurs magasins, la plupart des attaques provenant de cinq adresses IP:
- 34.227.25.4
- 44.212.43.34
- 54.205.171.35
- 155.117.84.134
- 159.89.12.166
Les attaques jusqu’à présent comprenaient des webshells PHP ou des sondes phpinfo qui vérifient les paramètres de configuration et recherchent des variables prédéfinies sur le système.
Aujourd’hui également, des chercheurs de Searchlight Cyber ont publié une analyse technique détaillée de CVE-2025-54236, ce qui pourrait entraîner une augmentation des tentatives d’exploitation.
Selon Sansec, 62% des magasins Magento en ligne n’ont pas encore installé la mise à jour de sécurité d’Adobe et restent vulnérables aux attaques SessionReaper.
Les chercheurs notent que dix jours après la mise à disposition du correctif, l’activité des correctifs était si lente que seul un site Web sur trois a installé les mises à jour. Actuellement, 3 magasins sur 5 sont vulnérables.
Il est fortement conseillé aux administrateurs de sites Web d’appliquer le correctif ou les mesures d’atténuation recommandées par Adobe dès que possible.