Adobe, Ticaret ve Magento Açık Kaynak Platformlarında, araştırmacıların Sessioneer olarak adlandırdığı ve ürün tarihindeki “en şiddetli” kusurlardan biri olarak tanımladığı kritik bir güvenlik açığı (CVE-2025-54236) uyarınca uyarıyor.
Bugün, yazılım şirketi, Ticaret REST API’sı aracılığıyla müşteri hesaplarının kontrolünü ele geçirmek için kimlik doğrulaması olmadan kullanılabilecek güvenlik sorunu için bir yama yayınladı.
E-ticaret güvenlik şirketi Sansec’e göre Adobe, 9 Eylül’de planlanan yaklaşan acil durum düzeltmesinin 4 Eylül’de “Seçilmiş Ticaret Müşterileri” ni bildirdi.
“Adobe, 9 Eylül 2025 Salı günü Adobe Commerce ve Magento Açık Kaynak için bir güvenlik güncellemesi yayınlamayı planlıyor.”
Diyerek şöyle devam etti: “Bu güncelleme kritik bir güvenlik açığını çözüyor. Başarılı bir sömürü güvenlik özelliğine yol açabilir.”
Bulutta Adobe Commerce kullanan müşteriler, Adobe tarafından bir ara önlem olarak dağıtılan bir Web Uygulaması Güvenlik Duvarı (WAF) kuralı ile zaten korunmaktadır.
Kaynak: Sansec
Adobe, güvenlik bülteninde vahşi doğada herhangi bir sömürü faaliyetinin farkında olmadığını söylüyor. Sansec’in danışmanlığı ayrıca araştırmacıların oturumdan aktif bir sömürü görmediklerini belirtiyor.
Bununla birlikte, Sansec, CVE-2025-54236 için bir ilk sıcaklığın geçen hafta sızdırıldığını ve bu da tehdit aktörlerine bir istismar yaratmaya potansiyel bir başlangıç sağlayabileceğini söylüyor.
Araştırmacılara göre, başarılı sömürü, çoğu mağazanın kullandığı varsayılan bir yapılandırma olan dosya sisteminde oturum verilerini depolamaya bağlı görünmektedir.
Yöneticilerin mevcut yamayı (doğrudan indirme, zip arşivi) hemen test etmesi ve dağıtması şiddetle tavsiye edilir. Araştırmacılar, düzeltmenin bazı özel veya harici kodların kırılmasına yol açabilecek dahili Magento işlevselliğini devre dışı bıraktığı konusunda uyarıyor.
Bu amaçla Adobe, Adobe Commerce Rest API yapıcı parametre enjeksiyonundaki değişiklikler için belgelerini güncelledi.
“Lütfen sıcaklığı mümkün olan en kısa sürede uygulayın. Bunu yapamazsanız, bu güvenlik sorununa karşı savunmasız olacaksınız ve Adobe’nin iyileştirilmesine yardımcı olacak sınırlı araçlara sahip olacak” – Adobe
SANSEC araştırmacıları CVE-2025-54236’nın otomasyon yoluyla ölçeklendirilmesini bekliyor. Güvenlik açığının, Cosmicsting, Trojanorder, Ambionics SQLI ve dükkan ile birlikte, platform tarihindeki en şiddetli Magento güvenlik açıkları arasında olduğunu belirtiyorlar.
Geçmişte benzer konular oturum dövme, ayrıcalık artışı, iç hizmet erişimi ve kod yürütülmesi için kullanılmıştır.
Güvenlik firması, Session tarafından yapılan istismarları yeniden üretebildi, ancak kodu veya teknik ayrıntıları açıklamadı, sadece “güvenlik açığının geçen yılın kozmik saldırısından tanıdık bir patern izlediğini” söyledi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.