Bilgisayar korsanları, Adobe’nin Magento e-ticaret platformundaki kritik bir uzaktan kod yürütme kusurunu aktif olarak hedeflemeye başladı ve Adobe’nin bir acil durum yaması yayınlamasından sadece altı hafta sonra binlerce çevrimiçi mağazayı doğrudan risk altına soktu.
SessionReaper olarak bilinen ve CVE-2025-54236 olarak izlenen güvenlik açığı, kimliği doğrulanmamış saldırganların müşteri oturumlarını ele geçirmesine ve potansiyel olarak rastgele kod çalıştırmasına olanak tanıyarak veri ihlallerine ve depolama güvenliğinin ihlal edilmesine yol açıyor.
Güvenlik firması Sansec, 22 Ekim 2025’te dünya çapında birden fazla IP adresinden kaynaklanan saldırılarla 250’den fazla istismar girişimini engellediğini bildirdi.
Adobe Magento RCE Güvenlik Açığı İstismar edildi
SessionReaper, 2.4.9-alpha2 ve önceki sürümler de dahil olmak üzere Adobe Commerce ve Magento Açık Kaynak sürümlerinde Commerce REST API’yi etkileyen uygunsuz bir giriş doğrulama sorunundan kaynaklanmaktadır.
Bağımsız araştırmacı Blaklis tarafından keşfedilen ve Adobe tarafından 9 Eylül 2025’te yamalanan bu kusur, saldırganların kimlik doğrulamayı atlayarak /customer/address_file/upload uç noktası aracılığıyla oturum verileri kılığında kötü amaçlı dosyalar yüklemesine olanak tanıyor.
Bu iç içe seri durumdan çıkarma hatası, özellikle dosya tabanlı oturum depolamayı kullanan sistemlerde tam uzaktan kod yürütülmesine yol açabilir, ancak Redis veya veritabanı destekli kurulumlar da savunmasız olabilir.
Assetnote araştırmacıları tarafından 21 Ekim 2025’te yayınlanan ayrıntılı bir teknik döküm, istismarı gösteren ve tespit edilemeyen yama penceresini etkili bir şekilde kapatan kavram kanıtı kodunu içeriyordu.
Sansec’in adli tıp ekibi, SessionReaper’ın CVSS ölçeğinde 9,1 olan ciddiyet derecesini, 2024’teki CosmicSting (CVE-2024-34102), 2022’deki TrojanOrder (CVE-2022-24086) ve 2015’teki kötü şöhretli Shoplift güvenlik açığı gibi geçmiş Magento tehditlerine benzetti; bunların her biri, ifşa edildikten kısa bir süre sonra binlerce mağazanın saldırıya uğramasıyla sonuçlandı.
Sansec, istismar ayrıntılarının artık kamuoyuna açıklanmasıyla, uzmanların bu tür yüksek etkili kusurlardan yararlanan tarama araçlarıyla desteklenen yaygın otomatik saldırıların 48 saat içinde gerçekleşeceğini öngördüğünü söyledi.
Adobe’nin acil tavsiye ve düzeltme desteğine rağmen benimsenme endişe verici derecede düşük kalıyor. Sansec’in izlemesi, Magento mağazalarının yalnızca %38’inin yama sonrasında altı hafta koruma uyguladığını ve %62’sinin yani beşte üçünün bu kritik tehdide maruz kaldığını gösteriyor.
Eylül ayındaki ilk raporlar, üç mağazadan birinden daha azının güvence altına alındığını gösterdi; bu da e-ticaret güvenlik güncellemelerinde, ödeme ayrıntıları gibi hassas müşteri verilerinin hırsızlığa maruz kalmasına neden olan kalıcı gecikmelerin altını çizdi.
Bu güvenlik açığının küresel çevrimiçi perakendeciler üzerindeki geniş etkisi, yama yapılmamış sitelerin kimlik bilgileri doldurma, kötü amaçlı yazılım yerleştirme ve tedarik zinciri kesintileri için ana hedefler haline gelmesi nedeniyle aciliyetin altını çiziyor.
Azaltmalar
Mağaza sahiplerinin riskleri azaltmak için hızlı hareket etmeleri gerekiyor. Adobe, resmi yamayı kendi deposundan dağıtmanızı veya geliştirici kılavuzundaki ayrıntılı talimatlarla birlikte en son güvenli sürüme yükseltme yapmanızı önerir.
Yama uygulamadan anında savunma için bir web uygulaması güvenlik duvarının (WAF) etkinleştirilmesi çok önemlidir; Örneğin Sansec Shield, SessionReaper’ı keşfinden bu yana engelledi ve SESSIONREAPER kupon kodu aracılığıyla bir ay ücretsiz teklif etti.
Gözlemlenen istismarların kökeni 34.227.25.4, 44.212.43.34, 54.205.171.35, 155.117.84.134 ve 159.89.12.166 gibi IP’lere kadar uzanıyor ve sunucu yapılandırmalarını araştıran veya arka kapılar kuran veriler sağlıyor.
Sansec, gerçek zamanlı izlemeye devam ederek, satıcıları benzer etkinlikleri izlemeye ve güncellemeler için canlı saldırı kontrol panelini takip etmeye teşvik ediyor.
Sömürü arttıkça e-ticaret sektörü, tarihi Magento olaylarını hatırlatan potansiyel bir ihlal dalgasıyla karşı karşıya kalıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
