home.social
Sign in Create account

#cve_2025_54236 — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #cve_2025_54236, aggregated by home.social.

  1. The Threat Codex @[email protected] ·

    SessionReaper, unauthenticated RCE in Magento & Adobe Commerce (CVE-2025-54236)
    #CVE_2025_54236
    sansec.io/research/sessionreap

    #cve_2025_54236
  2. :mastodon: decio @[email protected] ·

    ⚠️ "Six semaines après le correctif d’urgence d’Adobe pour #SessionReaper (CVE-2025-54236), la vulnérabilité est entrée dans une phase d’exploitation active."

    ➡️ Selon Sansec Seuls 38 % des sites #Magento sont à jour — 3 sur 5 restent vulnérables à une exécution de code à distance

    Détails techniques et timeline complète sur le blog de Sansec.
    👇
    sansec.io/research/sessionreap

    Article FR
    👇
    infosec.pub/post/36573308

    Analyse technique / dff du patch
    👇
    slcyber.io/assetnote-security-

    Détails (G)CVE
    👇
    cve.circl.lu/vuln/CVE-2025-542

    #CyberVeille #CVE_2025_54236

    #sessionreaper #magento #cyberveille #cve_2025_54236
  3. :mastodon: decio @[email protected] ·

    ⚠️ si tu administres (ou sais que) ton site e-commerce tourne sur Magento / Adobe Commerce : c’est LE moment de le mettre à jour

    Une faille critique baptisée SessionReaper (CVE-2025-54236) a été rendue publique. Elle permet à un attaquant, sans aucune authentification, de prendre le contrôle d’une boutique en ligne, d’accéder aux comptes clients… et dans certains cas d’exécuter du code à distance sur le serveur.
    👉 En clair : risque important de vol d’infos de paiement, compromission massive de boutiques, déploiement de malwares.

    Adobe a publié un patch d’urgence hors calendrier
    👇
    helpx.adobe.com/security/produ
    ⬇️
    experienceleague.adobe.com/en/

    Selon la société spécialisée Sansec:
    « Cela n’aide pas que le patch Adobe ait fuité accidentellement la semaine dernière, donc il est possible que des acteurs malveillants travaillent déjà sur un code d’exploitation. »

    (sansec.io/research/sessionreap)

    Qui est concerné ?

    • Adobe Commerce (tous déploiements) : 2.4.9-alpha2 et toutes les versions antérieures jusqu’à 2.4.4-p15 inclus

    • Magento Open Source : mêmes versions affectées

    • Adobe Commerce B2B : 1.5.3-alpha2 et antérieures jusqu’à 1.3.3-p15 inclus

    • Module Custom Attributes Serializable : 0.1.0 → 0.4.0

    Que faire ?

    Appliquer dès que possible le patch 👉 Adobe APSB25-88

    Tester vos personnalisations : ce correctif désactive certaines fonctions internes, certains modules tiers risquent de casser

    Si vous ne pouvez patcher dans les prochaines heures → activez un WAF (Fastly ou Sansec Shield). Adobe a déjà poussé de nouvelles règles WAF côté Cloud.

    ⚡ L’historique montre que les failles Magento de ce type (Shoplift 2015, TrojanOrder 2022, CosmicSting 2024…) sont exploitées (en masse) très rapidement et récursivement.

    ( vulnerability.circl.lu/vuln/CV )

    #Magento #CyberVeille #AdobeCommerce #Cyberveille #CVE_2025_54236

    #magento #cyberveille #adobecommerce #cve_2025_54236