Adobe, Magento ve Adobe Ticaret Platformlarında “SessionReper” olarak adlandırılan kritik bir güvenlik açığı için bir acil durum güvenlik yaması yayınladı.
Güvenlik açığı, Magento’nun tarihinin en şiddetli olarak kabul edilir ve 9 Eylül Salı günü bant dışı bir güncelleme başlatır ve 14 Ekim’de bir sonraki planlanan yama sürümünün çok önünde.
CVE-2025-54236 olarak izlenen Sansec tarafından ortaya çıkarılan güvenlik açığı, binlerce çevrimiçi mağazayı otomatik saldırılara maruz bırakabilir.
Session tarafından ciddiyeti, geçmiş önemli Magento güvenlik açıklarıyla karşılaştırılıyor, örneğin
- Shopplift (2015)
- Ambionics SQLI (2019)
- Trojanorder (2022)
- Cosmicsting (2024).
Sansec, bu tarihsel kusurların her birinin binlerce e-ticaret sahasının uzlaşmasına yol açtığını ve tehdit aktörlerinin genellikle kamu açıklamalarından sonraki saatler içinde onları sömürdüğünü söyledi.
Bu tarih, Magento ve Adobe Ticaret topluluklarını yüksek alarm haline getirerek derhal eylem ihtiyacını vurguladı.
Adobe’nin açıklamayı ele alması açık kaynaklı topluluktan eleştiri aldı. Adobe Commerce müşterileri ödeme yaparken, 4 Eylül’de acil durum düzeltmesinin özel ve gelişmiş bir bildirimini alırken, ücretsiz Magento açık kaynak platformu kullanıcılarına önceden bir uyarı verilmedi.
Bu, kullanıcı tabanının büyük bir kısmının kritik güncelleme için hazırlıksız olması ve ticari ve açık kaynaklı ekosistemler arasında algılanan destek eksikliğinin hayal kırıklığına yol açmasına neden oldu. Adobe’deki acil durum düzeltmesiyle ilgili iç tartışmalar 22 Ağustos’a kadar başladığı bildiriliyor.
Hafifletme
Tüccarlardan Adobe’den resmi yamayı gecikmeden uygulamaları istenir. Güncellemeler Adobe’nin güvenlik bülten web sayfasında mevcuttur.
“CVE-2025-54236 WebAPI İyileştirme için McLoud-14016 yaması” başlıklı sızdırılmış yama, güvenlik açığının yer almasını öneriyor. Webapi/ServiceInputProcessor.php dosya.
Düzeltme, API aracılığıyla işlenebilen veri türlerini kısıtlıyor ve yalnızca basit türlere veya yetkili API veri nesnelerine izin veriyor.
Bununla birlikte, tüccarlar bu resmi olmayan yamayı kullanmaya karşı uyarıldı, çünkü kesinliği ve bütünlüğü doğrulanmadı.
Session tarafından yapılan kritik doğası göz önüne alındığında, mağaza sahiplerine oturum kaçırma ve diğer potansiyel otomatik saldırıları önlemek için resmi güvenlik güncellemesinin konuşlandırılmasına öncelik vermeleri şiddetle tavsiye edilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.