Résumé
Le 24 octobre 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Adobe Commerce et Magento Open Source, des plateformes très utilisées pour gérer des boutiques en ligne.
Référencée sous CVE-2025-54236, cette vulnérabilité permet à un attaquant distant de prendre le contrôle de comptes clients via l’API REST, en profitant d’un défaut de vérification des données reçues (improper input validation). Les pirates peuvent ainsi accéder à des comptes clients, voler des informations ou détourner des commandes, et dans certains cas particuliers, mener des actions plus graves, comme installer des scripts malveillants sur la boutique.
Solutions
Il est recommandé de mettre à jour vers la dernière version d’Adobe Commerce ou Magento Open Source ou d’appliquer le correctif publié par l’éditeur. Adobe propose aussi des règles WAF (firewall applicatif web) temporaires pour limiter les risques.
La faille est activement exploitée : Oui (de nombreuses tentatives d’exploitation sont observées depuis la publication du correctif).
Détails techniques
Score CVSS : 9.1 (critique)
EPSS : 38.51%
Risques : Prise de contrôle de comptes clients, exécution de code à distance possible dans certains scénarios, vol de données personnelles et commerciales
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Adobe Commerce jusqu’à 2.4.9-alpha2 (toutes méthodes de déploiement)
- Magento Open Source jusqu’à 2.4.9-alpha2
- Adobe Commerce B2B jusqu’à 1.5.3-alpha2
- Modules Custom Attributes Serializable 0.1.0 à 0.4.0
Documentation
- Bulletin de sécurité Adobe
Hotfix et information sécurité - NVD CVE-2025-54236
- CVE Details
- Reference CVE
- CWE-20