Blog

Journal Magento

Bonnes pratiques, veille technique et retours d'expérience pour les équipes Magento exigeantes.

Sécurité Article à la une

Faille PolyShell Magento : ce que vous devez faire maintenant

Le 17 mars 2026, la société Sansec a divulgué publiquement PolyShell — une faille critique dans Magento Open Source et Adobe Commerce permettant à n’importe qui, sans compte ni authentification, d’uploader et d’exécuter du code arbitraire sur votre serveur. Trois jours après la divulgation, l’exploitation de masse avait déjà démarré. Au 14 avril 2026, 82 % des boutiques Magento vulnérables avaient reçu des uploads malveillants. Aucun patch officiel n’est disponible pour les versions de production stables à ce jour. Voici ce que vous devez faire, maintenant. Ce que fait PolyShell PolyShell exploite le endpoint d’upload de fichier des options de panier dans l’API REST de Magento : POST /rest/default/V1/carts/{cartId}/items Ce endpoint accepte un objet file_info contenant un fichier encodé en base64 — censé représenter une option produit de type “fichier joint”. Magento valide le fichier en vérifiant uniquement son en-tête pour détecter s’il s’agit d’une image. L’attaque repose sur un fichier polyglotte : un fichier qui est simultanément une image valide et un script PHP exécutable.

9 min
Lire l'article
Sécurité

SessionReaper (APSB25-88) : la faille Magento qui détourne vos sessions

Le 9 septembre 2025, Adobe publiait discrètement le bulletin de sécurité APSB25-88, classé en priorité 2 — traduction officielle : “patchez sous 30 jours, pas d’urgence immédiate”. Six semaines plus tard, 250 boutiques Magento étaient compromises en 48 heures. Au 1er novembre 2025, 81 % de tous les sites Magento avaient été ciblés et entre 16 et 18 % portaient un backdoor actif. La faille, baptisée SessionReaper par Sansec, est l’une des plus sophistiquées observées sur Magento : elle combine un upload de fichier non authentifié avec une vulnérabilité de désérialisation pour détourner le gestionnaire de sessions PHP et obtenir une exécution de code complète. Ce que fait SessionReaper Contrairement à PolyShell — où l’upload seul suffisait à compromettre le serveur — SessionReaper nécessite deux étapes. C’est ce qui l’a rendu difficile à détecter initialement. Phase 1 — Upload du payload malveillant L’attaquant commence par uploader un fichier via l’endpoint public de gestion des adresses clients : POST /customer/address_file/upload Aucune authentification n’est requise.

6 min
Lire
Prêt ?

Retrouvez la tranquillité.
Votre Magento entre de bonnes mains.

Démo gratuite · Démarrage en 48h · Sans engagement

Demander une démo gratuite Écrire directement
Experts Magento certifiés
Réponse en 4h
Sans engagement
Illimité