Güvenlik araştırmacıları Microsoft, Volvo ve BMW gibi büyük şirketlerin kullandığı popüler açık kaynaklı e-ticaret platformu nopCommerce’de ciddi bir güvenlik açığını ortaya çıkardı.
Bu kusur, saldırganların, meşru kullanıcılar oturumu kapattıktan sonra bile, yakalanan oturum çerezlerinden yararlanarak kullanıcı hesaplarını ele geçirmesine olanak tanıyor.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-11699 |
| Güvenlik Açığı Başlığı | Yetersiz Oturum Çerezinin Geçersizleştirilmesi |
| platformu | nopCommerce (ASP.NET Çekirdeği) |
| Şiddet | Yüksek |
Güvenlik Açığı Açıklandı
CVE-2025-11699 olarak takip edilen güvenlik açığı, nopCommerce’in oturum açma sistemindeki oturum çerezlerinin yeterince geçersiz kılınmamasından kaynaklanıyor.
Kullanıcılar oturumu kapattığında platform, oturum çerezlerini doğru şekilde geçersiz kılamaz ve bu da onları kötüye kullanıma açık hale getirir.
Geçerli bir oturum çerezi elde eden bir saldırgan, orijinal kullanıcı oturumu kapattıktan çok sonra bile bunu yönetim uç noktaları da dahil olmak üzere kısıtlı alanlara erişmek için kullanabilir.
Çerez hırsızlığı yoluyla oturumun ele geçirilmesi yeni bir tehdit olmasa da oldukça etkili olmaya devam ediyor. Saldırganlar genellikle çerezleri siteler arası komut dosyası saldırıları (XSS), ağ müdahalesi yoluyla veya kullanıcının cihazının güvenliğini ihlal ederek elde eder.
Bu çerezler bir kez ele geçirildiğinde yeraltı forumlarında diğer siber suçlulara satılan değerli mallara dönüşür.
Carnegie Mellon Üniversitesi’ne göre güvenlik açığı, nopCommerce’in 4.70 ve önceki sürümlerinin yanı sıra 4.80.3 sürümlerini de etkiliyor. Platform, dünya çapında çok sayıda çevrimiçi mağazanın omurgasını oluşturuyor ve ASP.NET Core ve MS SQL Server’ı kullanıyor.
Gönderim API’leri ve içerik dağıtım ağlarıyla entegrasyonu, onu birçok işletme için kritik bir altyapı parçası haline getiriyor.
Bu kusurun keşfi özellikle endişe verici çünkü CVE-2019-7215’i yansıtıyor. Bu benzer güvenlik açığı yıllar önce de aynı zayıflığı ortaya çıkarmıştı.
Bu, platformun kimlik doğrulama mekanizmalarında yetersiz güvenlik iyileştirmelerinin yapıldığını gösteriyor.
Siber suçlular, oturum ele geçirme güvenlik açıklarından çeşitli amaçlarla yararlanır. Çalınan oturum verileri, fidye yazılımı saldırıları başlatmak, kripto para hırsızlığı yapmak ve yetkisiz finansal işlemler gerçekleştirmek için kullanıldı.
Çalınan oturum çerezlerine yönelik yeraltı pazarı, suçluların hesapları tehlikeye atmak için düzenli olarak erişim kimlik bilgileri satın almasıyla aktif olmaya devam ediyor.
NopCommerce çalıştıran işletmeler için, güvenliği ihlal edilmiş tek bir yönetici oturumu, saldırganlara e-ticaret platformu üzerinde tam kontrol sağlayarak müşteri verilerini çalmalarına, işlemleri değiştirmelerine veya kötü amaçlı yazılım dağıtmalarına olanak sağlayabilir.
nopCommerce geliştirme ekibi bu güvenlik açığını gideren yamalar yayınladı. 4.80.3 sürümü hariç 4.70 veya üzeri sürümü çalıştıran kullanıcılar korunur.
4.80.3 veya daha eski bir sürümü kullananlar, derhal 4.90.3 sürümüne veya mevcut en son sürüme güncelleme yapmalıdır.
Güvenlik açığının müşteri verilerine ve finansal varlıklara doğrudan tehdit oluşturması nedeniyle sistem yöneticilerinin bu güncellemeye öncelik vermeleri isteniyor. Maruziyeti en aza indirmek için güncelleme işleminin mümkün olan en kısa sürede tamamlanması gerekir.
Bu keşif, e-ticaret platformu güvenliğinde devam eden zorlukları vurgulamaktadır. Benzer bir güvenlik açığının 2019’da da mevcut olması, geliştiricilerin ve işletmelerin oturum yönetiminin en iyi uygulamalarını yeterince ele almadığını gösteriyor.
Oturum kapatıldığında çerezlerin uygun şekilde geçersiz kılınması, tüm kimlik doğrulama sistemlerinde uygulanması gereken temel bir güvenlik gereksinimidir.
NopCommerce kullanan kuruluşlar, daha önce kötüye kullanım olduğunu gösterebilecek şüpheli hesap etkinliklerini belirlemek için güncellemenin ardından bir güvenlik denetimi yapmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.