Sansec araştırmacıları, saldırganların Adobe Commerce ve Magento Açık Kaynak’ı etkileyen kritik bir güvenlik açığı olan CVE-2025-54236’yı kullanmaya çalıştığı konusunda uyardı.
Şirket Çarşamba günü birden fazla mağazayı hedef alan 250’den fazla istismar girişimini engelledi ve saldırıların hızla devam etmesini bekliyor.
CVE-2025-54236 Hakkında
CVE-2025-54236, diğer adıyla SessionReaper, saldırganların müşteri hesaplarını ele geçirmesine olanak tanıyan bir Uygunsuz Giriş Doğrulama güvenlik açığıdır.
Adobe Commerce ve Magento Açık Kaynak sürümlerini etkiler:
- 2.4.9-alfa2 ve öncesi
- 2.4.8-p2 ve öncesi
- 2.4.7-p7 ve öncesi
- 2.4.6-p12 ve öncesi
- 2.4.5-p14 ve öncesi
- 2.4.4-p15 ve öncesi
Ayrıca Adobe Commerce B2B sürümlerini de etkiler:
- 1.5.3-alfa2 ve öncesi
- 1.5.2-p2 ve öncesi
- 1.4.2-p7 ve öncesi
- 1.3.4-p14 ve öncesi
- 1.3.3-p15 ve öncesi
Güvenlik açığı, Blaklis’e giden bir hata avcısı tarafından keşfedildi ve bildirildi ve Adobe, bir hafta önce kazara sızdırıldıktan sonra 9 Eylül 2025’te resmi olarak bir düzeltme yayınladı.
O zamanlar vahşi doğada sömürüldüğüne dair hiçbir kanıt yoktu.
SessionReaper’dan yararlanma girişimleri
Çarşamba günü Assetnote/Searchlight Cyber araştırmacısı Tomais Williamson, yamaya tersine mühendislik uyguladıktan sonra güvenlik açığına ilişkin teknik bir derinlemesine inceleme yayınladı ve Adobe’nin sorunu bir “güvenlik özelliği atlaması” olarak tanımlamasına rağmen SessionReaper’ın belirli koşullar altında kimliği doğrulanmamış uzaktan kod yürütülmesine izin verebileceği konusunda uyardı.
“Dosya tabanlı oturum depolamayı kullanan örneklerde, kimliği doğrulanmamış bir kullanıcı tarafından uzaktan kod yürütme kolaylıkla gerçekleştirilebilir. Dosya tabanlı oturum depolamayı kullanmayan örnekler (Redis destekli örnekler gibi) da saldırıya açık olabilir” dediler.
Sansec araştırmacıları, “Kötüye kullanım ayrıntıları artık herkese açık ve aktif saldırılar zaten gözlemlendiğinden, önümüzdeki 48 saat içinde kitlesel istismarın gerçekleşmesini bekliyoruz” diye uyardı.
“Otomatik tarama ve yararlanma araçları genellikle teknik yazılar yayınlandıktan sonra hızla ortaya çıkıyor ve SessionReaper’ın yüksek etkisi, onu saldırganlar için çekici bir hedef haline getiriyor.”
Sansec, istismar girişimlerinin kaynaklandığı IP adreslerinin bir listesini paylaştı ve “şu ana kadarki saldırı yüklerinin PHP web kabukları veya phpinfo araştırmaları içerdiğini” belirtti. [i.e., requests for information about the PHP version running, enabled extensions and modules, predefined variables, etc.].”
Ayrıca şu ana kadar çevrimiçi Magento mağazalarının yalnızca %38’inin yamalandığı konusunda da uyardılar; bu da saldırganların saldırı için geniş bir açık alana sahip olduğu anlamına geliyor.
Site yöneticilerine yamayı hemen dağıtmalarını veya en son Adobe Commerce / Magento Açık Kaynak güvenlik sürümüne yükseltmelerini ve güvenlik ihlali işaretlerini taramalarını tavsiye ettiler.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!