Kimliği doğrulanmamış saldırganlar, dünya çapındaki Adobe Commerce ve Magento platformlarını etkileyen kritik bir güvenlik açığından aktif olarak yararlanıyor.
CVE-2025-54236 olarak takip edilen ve SessionReaper olarak adlandırılan kusur, binlerce çevrimiçi mağazada uzaktan kod yürütülmesine ve müşteri hesabının ele geçirilmesine olanak sağlıyor.
| CVE Kimliği | Güvenlik Açığı Adı | Etkilenen Ürünler | Tip | CVSS 3.1 |
| CVE-2025-54236 | SessionReaper | Adobe Commerce ve Magento (tüm sürümler) | Kimliği doğrulanmamış RCE, Hesabın Devralınması | 9.1 Kritik |
Sansec’teki güvenlik araştırmacıları ilk toplu saldırıları 22 Ekim 2025’te, yani Adobe’nin acil durum yamasını yayınlamasından yaklaşık iki ay sonra tespit etti. Keşif sırasında, etkilenen mağazaların yüzde 40’ından azında koruyucu düzeltmeler uygulanmıştı.
Saldırı Nasıl Çalışır?
SessionReaper, saldırganlara savunmasız vitrinler üzerinde tam kontrol sağlamak için kötü amaçlı bir oturumu Magento’nun REST API’sindeki iç içe geçmiş bir seri durumdan çıkarma hatasıyla birleştirir.
Açıklardan yararlanmalar /customer/address_file/upload uç noktası üzerinden gelir; burada saldırganlar sahte oturum dosyaları görünümünde PHP arka kapılarını yükler.
Bu yaklaşım, kimlik doğrulama gereksinimlerini tamamen atlayarak internete bağlı herhangi bir saldırganın, geçerli kimlik bilgileri olmadan yama uygulanmamış sistemlere erişmesine olanak tanır.
Dosya tabanlı oturum depolamayı kullanan Magento yöneticileri en yüksek riskle karşı karşıyadır; ancak Redis’e veya veritabanı destekli oturumlara güvenen kuruluşlar bunların güvenli olduğunu varsaymamalıdır.
Güvenlik araştırmacıları birden fazla saldırı vektörünün mevcut olduğunu ve istismarın gerçek kapsamının şu anda anlaşılandan daha geniş olabileceğini doğruluyor.
Adobe, SessionReaper yamasını 9 Eylül’de bant dışı bir acil durum güncellemesi olarak yayınlayarak normal yayın programını bozdu.
Ancak benimsenme oldukça yavaş kaldı. Eylül ortasına gelindiğinde, üç Magento mağazasından birinden azı düzeltmeyi yüklemişti.
Bu gecikme, saldırganların açıklardan yararlanması ve dağıtması için kritik bir pencere oluşturdu. Adobe’nin yanlışlıkla yama kodunu GitHub’a sızdırmasıyla durum daha da kötüleşti ve saldırganların hazırlıkları potansiyel olarak hızlandı.
Yaralanmaya hakaret ekleyen Adobe’nin resmi güvenlik açığı uyarısı, başlangıçta tehdidi küçümsedi, etkiyi yalnızca hesabın ele geçirilmesi olarak tanımladı ve uzaktan kod yürütmeden herhangi bir şekilde bahsetmedi; güvenlik araştırmacıları daha sonra bunu doğruladı.
SessionReaper, Shoplift (2015), Ambionics SQL enjeksiyonu (2019), TrojanOrder (2022) ve CosmicSting (2024) gibi kötü şöhretli bir listeye katılarak şimdiye kadar keşfedilen en ciddi Magento güvenlik açıkları arasında yer alıyor.
Önceki kusurların her biri, kamuya açıklandıktan sonraki saatler veya günler içinde binlerce mağazanın güvenliğinin ihlal edilmesiyle sonuçlandı.
Yama uygulanmamış Magento veya Adobe Commerce örneklerini çalıştıran kuruluşlar, tehlikelerle karşı karşıya kalma tehlikesiyle karşı karşıyadır.
Düzeltme, özel uzantıları bozabilecek dahili Magento işlevselliğini devre dışı bıraktığından, acil eylemler arasında resmi yamanın Adobe deposundan dağıtılması ve kapsamlı bir şekilde test edilmesi yer alır.
24 saat içinde düzeltme eki uygulayamayan yöneticilerin, geçici koruma için Web Uygulaması Güvenlik Duvarı’nı (WAF) etkinleştirmesi gerekir; yalnızca Adobe Fastly ve Sansec Shield şu anda bu özel saldırıyı engellemektedir.
Güvenlik araştırmacıları, halihazırda yama uygulanmış mağazalar için, tehlikeleri tespit etmek amacıyla kötü amaçlı yazılım tarayıcılarının çalıştırılmasını ve saldırganların CMS bloklarını süresiz olarak değiştirmesini önlemek için şifreleme anahtarlarının döndürülmesini önermektedir.
Mağazaların yüzde 62’si yama yapılmadan kalırken, daha fazla kuruluşun otomatik istismar kampanyalarının kurbanı olmasıyla tehdit ortamı gelişmeye devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.