Adobe, özellikle Adobe Commerce ve Magento açık kaynaklı platformları etkileyen Sessure olarak da bilinen CVE-2025-54236 için acil bir güvenlik danışmanlığı yayınladı. Bu kusura, 10 üzerinden 9.1’lik bir CVSS puanı verilmiştir, bu da Commerce Rest API’si aracılığıyla müşteri hesaplarının yetkisiz erişime ve tam olarak uzlaşmasına yol açabilecek ciddi bir güvenlik riskini göstermiştir.
CVE-2025-54236 nedir?
CVE-2025-54236, uygunsuz bir giriş doğrulama güvenlik açığı olarak sınıflandırılır. Adobe’nin resmi danışmanlığına göre, kötü niyetli bir aktör, Ticaret REST API ile etkileşime girerek bu hatayı potansiyel olarak müşteri hesaplarının tam kontrolünü alarak kullanabilir. Vahşi doğada aktif bir sömürü tespit edilmemiş olsa da, Adobe güvenlik açığının kritik doğasını vurguladı ve kullanıcıları gerekli güvenlik yamalarını hemen uygulamaya çağırdı.
Adobe, “Potansiyel bir saldırgan Ticaret Rest API ile Adobe Ticaretinde müşteri hesaplarını devralabilir” dedi.
Etkilenen ürünler ve versiyonlar
Güvenlik açığı, Adobe Commerce, Adobe Commerce B2B ve Magento Açık Kaynak’ın çeşitli versiyonlarını etkiler, ancak bunlarla sınırlı değildir:
- Adobe Ticaret: Sürümler 2.4.9-Alpha2 ve önceki
- Magento Açık Kaynak: Sürümler 2.4.9-Alpha2 ve önceki
- Adobe Commerce B2B: Sürümler 1.5.3-alpha2 ve önceki
- Özel Öznitelikler Serileştirilebilir Modül: Sürümler 0.1.0 ila 0.4.0
Etkilenen yama seviyelerinin ayrıntılı bir listesi Adobe’nin güvenlik bültenine dahildir.
Yama: Vuln-32437-2-4-X
Güvenlik açığını ele almak için Adobe, CVE-2025-54236’yı doğrudan hafifleten Vuln-32437-2-4-X-Patch olarak tanımlanan bir hotfix yayınladı. Kullanıcılara bu düzeltmeyi gecikmeden uygulamaları şiddetle tavsiye edilir. Bunun yapılmaması sistemleri açık bırakabilir ve Adobe, düzeltme desteği sağlama yeteneğinin yama uygulanmazsa sınırlı olacağını kaydetmiştir.
Özel öznitelikler Serialize edilebilir modül (0.1.0 – 0.3.0 sürümleri) kullananlar için 0.4.0 veya sonraki sürüm için bir güncelleme gereklidir. Bu, aşağıdaki besteci komutu kullanılarak yapılabilir:
Besteci Magento/Süreç Dışı Gerekir-Attributes = 0.4.0-Bağımlılıklarla
Bulut ve Yönetilen Hizmetler Kullanıcıları için Koruma
Adobe Commerce Cloud altyapısında barındırılan kullanıcılar için Adobe, potansiyel sömürü girişimlerini engellemek için Web Uygulama Güvenlik Duvarı (WAF) kurallarını dağıttı. Ayrıca, yönetilen hizmetlere sahip olanlar, düzeltmenin uygulanmasında yardım için müşteri başarı mühendislerinden rehberlik isteyebilirler.
Bununla birlikte, WAF kurallarının varlığının yamayı uygulama ihtiyacını ortadan kaldırmadığını belirtmek önemlidir. Bu kurallar, kalıcı bir çözüm değil, geçici bir azaltma katmanı olarak nitelendirilir.
Yamayı doğrulamak
Adobe, yamanın başarıyla uygulanıp uygulanmadığını doğrulamak için Kalite Yamaları aracının kullanılmasını önerir. Örneğin, belirli bir yama olup olmadığını kontrol etmek için Vuln-27015-2.4.7_composer.patch yüklendi, kullanıcılar aşağıdaki komutu çalıştırabilir:
Satıcı/Bin/Magento -Patches -n Durum | grep “27015 | Durum”
Bu, yama aktifse, iyileştirmeyi onaylaması gereken yöneticiler için gönül rahatlığı sunar.
Güvenlik açığı, Blaklis adında bağımsız bir güvenlik araştırmacısı tarafından Adobe’ye bildirildi. Session kaynaklı (CVE-2025-54236) henüz silahlandırıldığına dair bir kanıt olmasa da, e-ticaret işletmeleri üzerindeki potansiyel etkisi dikkate değerdir.
Acil harekete geçme çağrısı
E-ticaret ekosisteminde Adobe Commerce ve Magento Açık Kaynak platformlarının yaygın kullanımı göz önüne alındığında, oturumun keşfi hafifçe alınmamalıdır. Etkilenen sürümlerden herhangi birini kullanan kuruluşlar:
- Vuln-32437-2-4-X-Patch’ı hemen uygulayın.
- Özel öznitelikler Serileştirilebilir modülünü 0.4.0 veya daha yüksek bir seviyeye güncelleyin.
- Adobe’nin önerilen araçlarını kullanarak yama uygulamasını onaylayın.
- Gerekirse rehberlik için Adobe desteğine veya müşteri başarı mühendislerine danışın.
Adobe, kullanıcıların ayrıntılı yama talimatlarını bulabilecekleri ve kaynakları destekleyebilecekleri resmi güvenlik bülteniyle en son güvenlik güncellemelerini sundu.