Adobe Commerce Flaw CVE-2025-54236 Lets Hackers Take Over Customer Accounts

1 minute de lecture

Mis à jour : September 10, 2025

Sécurité d’Adobe Commerce : une faille critique expose les comptes clients

Une importante faille de sécurité affecte les plateformes Adobe Commerce et Magento Open Source. Connue sous le nom de CVE-2025-54236, cette vulnérabilité de type “mauvaise validation des entrées” présente un score CVSS de 9.1 sur 10. Si elle est exploitée, elle permettrait à des attaquants de prendre le contrôle de comptes clients via l’API REST de Commerce.

Bien qu’Adobe affirme ne pas avoir connaissance d’exploitations actives de cette faille, la société de sécurité Sansec la compare à des menaces historiques majeures pour Magento comme Shoplift, Ambionics SQLi, TrojanOrder et CosmicSting. Sansec a reproduit une méthode d’exploitation impliquant une combinaison d’une session malveillante et d’un bug de désérialisation imbriqué dans l’API REST. Bien que ce vecteur spécifique semble nécessiter un stockage de session basé sur des fichiers, il est conseillé d’agir rapidement même pour les utilisateurs de Redis ou de sessions basées sur des bases de données, car d’autres méthodes d’exploitation sont possibles.

Adobe a publié des correctifs et déployé des règles de pare-feu applicatif web (WAF) pour les environnements Cloud afin de se prémunir contre les tentatives d’exploitation.

Points Clés :

Nature de la faille : Mauvaise validation des entrées (Improper Input Validation).
Impact : Prise de contrôle de comptes clients.
Vecteur d’attaque : API REST de Commerce.
Gravité : Critique (CVSS 9.1/10).
Comparaison historique : Similaire à des failles majeures passées (Shoplift, TrojanOrder, CosmicSting).

Vulnérabilités :

CVE-2025-54236 : Affecte Adobe Commerce et Magento Open Source, ainsi que le module Custom Attributes Serializable. Les versions spécifiques touchées sont listées dans l’article.

Recommandations :

Appliquer les correctifs fournis par Adobe.
Pour les utilisateurs d’Adobe Commerce sur infrastructure Cloud, Adobe a déployé des règles WAF.
Même si certains vecteurs spécifiques dépendent du stockage de session, il est recommandé de prendre des mesures immédiates pour les utilisateurs utilisant Redis ou des sessions basées sur des bases de données.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Adobe Commerce Flaw CVE-2025-54236 Lets Hackers Take Over Customer Accounts

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast