Une vulnérabilité critique qui pourrait conduire à la prise de contrôle des comptes et à l’exécution du code distant a été corrigée dans Magento et Adobe Commerce. Les experts en sécurité préviennent bientôt les exploits.
Adobe a publié un patch d’urgence pour l’une des vulnérabilités les plus graves jamais découvertes dans la plate-forme de commerce électronique open source Magento et Adobe Commerce, son homologue d’entreprise. La faille permet aux attaquants non authentifiés de détourner les comptes d’utilisateurs et, dans certains cas, d’exécuter du code arbitraire sur les serveurs.
Suivi sous le nom de CVE-2025-54236 et baptisé SessionReper par la communauté de la sécurité, la vulnérabilité a été signalée en privé à Adobe par un chercheur externe. La société l’a jugée suffisamment sérieuse pour publier un patch hors bande, brisant son cycle de mise à jour régulier de deux mois pour Adobe Commerce.
Les clients d’Adobe Commerce ont reçu un préavis du correctif le 4 septembre, mais il semble que les utilisateurs open source de Magento n’étaient pas alertés. Magento alimente plus de 150 000 sites Web de commerce électronique actifs et a une longue histoire d’être ciblé par des pirates. Adobe Commerce, construit sur Magento, prend en charge plus de 200 000 sites de commerce électronique d’entreprise.
Magecart fait référence à une classe d’attaques dans lesquelles les pirates compromettent les magasins en ligne et injectent des scripts malveillants dans les formulaires de paiement pour voler les données de la carte de paiement client lors du paiement. Ces scripts, également connus sous le nom de skimmers Web, ont été utilisés par plusieurs groupes d’attaquants, mais le terme Magecart dérive de Magento, l’une des premières plates-formes ciblées avec cette technique à travers des extensions vulnérables.
Alors que l’écrémage Web et le jacking dominaient le paysage des menaces de commerce électronique entre 2010 et 2020, les attaques de style Magecart restent actives. La société de sécurité de commerce électronique SANSEC rapporte en moyenne 30 nouvelles signatures d’écrémage Web par jour l’an dernier.
Exploitation via l’API REST de Magento
L’avis d’Adobe décrit le défaut comme un contournement de fonctionnalité de sécurité mais fournit peu de détails techniques pour éviter d’aider les attaquants. La vulnérabilité comporte un score CVSS de 9,1 sur 10, soulignant sa gravité.
Les chercheurs de Sansec ont pu identifier et reproduire le problème. En plus d’activer la prise de contrôle du compte, la faille peut entraîner une exécution de code distante lorsque le stockage de session basé sur des fichiers est utilisé.
« Bien que nous ne puissions pas divulguer les détails techniques qui pourraient aider les attaquants, la vulnérabilité suit un modèle familier de l’attaque Cosmicsting de l’année dernière », a noté les chercheurs de Sansec dans leur rapport. « L’attaque combine une session malveillante avec un bug de désérialisation imbriqué dans l’API REST de Magento. »
Cosmicsting (CVE-2024-34102) a été l’un des défauts de magento les plus graves de ces dernières années, permettant aux attaquants de lire tous les fichiers de site, y compris ceux contenant des informations d’identification sensibles. Une méthode d’exploitation commune consistait à voler la clé cryptographique secrète du site à partir de app/etc/env.php et injecter un JavaScript malveillant via l’API REST pour récolter les données des clients.
Adobe a déclaré dans son avis qu’aucune exploitation active de SessionReper n’a été observée jusqu’à présent. Cependant, compte tenu de l’histoire des vulnérabilités du commerce Magento et Adobe, cela pourrait changer rapidement.
«SessionReaper est parmi les vulnérabilités Magento les plus sévères à ce jour, comparables à Souhatlift (2015), Ambionics SQLI (2019), Trojanorder (2022) et Cosmicsting (2024)», a averti Sansec. «À chaque fois, des milliers de magasins étaient compromis, parfois dans les heures suivant la divulgation.»
