Bilgisayar korsanları, Adobe Commerce (eski adıyla Magento) platformlarındaki kritik SessionReaper güvenlik açığından (CVE-2025-54236) aktif olarak yararlanıyor ve yüzlerce deneme kaydedildi.
Etkinlik, araştırmacıları daha önce SessionReaper’ı ürün tarihindeki en ciddi güvenlik hatalarından biri olarak tanımlayan e-ticaret güvenlik firması Sansec tarafından fark edildi.
Adobe, 8 Eylül’de CVE-2025-54236 hakkında uyardı ve bunun Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 (ve önceki sürümleri) sürümlerini etkileyen uygunsuz bir giriş doğrulama güvenlik açığı olduğunu söyledi.
Bu kusurdan başarıyla yararlanan bir saldırgan, herhangi bir kullanıcı etkileşimi olmadan hesap oturumlarının kontrolünü ele geçirebilir.
Adobe, “Potansiyel bir saldırgan, Commerce REST API aracılığıyla Adobe Commerce’teki müşteri hesaplarını ele geçirebilir” diye açıklıyor.
Sansec daha önce başarılı bir şekilde yararlanmanın muhtemelen oturum verilerinin çoğu mağaza tarafından kullanılan varsayılan yapılandırma olan dosya sisteminde depolanmasına bağlı olduğunu ve satıcıdan sızdırılan bir düzeltmenin bundan nasıl yararlanılabileceğine dair ipuçları sağlayabileceğini belirtmişti.
SessionReaper için acil durum yamasının kullanıma sunulmasından yaklaşık altı hafta sonra Sansec, vahşi ortamda aktif istismarı doğruladı.
Sansec’in bülteninde “Adobe’nin SessionReaper için acil durum yamasından (CVE-2025-54236) altı hafta sonra, güvenlik açığı aktif olarak kullanılmaya başlandı” deniyor.
Araştırmacılar, “Sansec Shield, bugün gerçek dünyadaki ilk saldırıları tespit etti ve engelledi; bu, yama yapılmamış binlerce mağaza için kötü bir haber.” dedi.
Bugün Sansec, birden fazla mağazayı hedef alan 250’den fazla SessionReaper istismar girişimini engelledi; saldırıların çoğu beş IP adresinden kaynaklanıyordu:
- 34.227.25.4
- 44.212.43.34
- 54.205.171.35
- 155.117.84.134
- 159.89.12.166
Şu ana kadar yapılan saldırılar, yapılandırma ayarlarını kontrol eden ve sistemdeki önceden tanımlanmış değişkenleri arayan PHP web kabuklarını veya phpinfo araştırmalarını içeriyordu.
Ayrıca bugün Searchlight Cyber’deki araştırmacılar, CVE-2025-54236’nın ayrıntılı bir teknik analizini yayınladı; bu, istismar girişimlerinde artışa yol açabilir.
Sansec’e göre çevrimiçi Magento mağazalarının %62’si henüz Adobe’nin güvenlik güncellemesini yüklemedi ve SessionReaper saldırılarına karşı savunmasız durumda.
Araştırmacılar, düzeltmenin kullanıma sunulmasından on gün sonra yama etkinliğinin o kadar yavaş olduğunu ve yalnızca üç web sitesinden birinin güncellemeleri yüklediğini belirtiyor. Şu anda 5 mağazadan 3’ü savunmasız durumda.
Web sitesi yöneticilerinin yamayı veya Adobe’nin önerdiği hafifletme önlemlerini mümkün olan en kısa sürede uygulamaları şiddetle tavsiye edilir.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.