Adobe, Magento Ticaretinde ve açık kaynaklı Magento kurulumlarında kritik bir güvenlik açığı olan CVE-2025-54236’yı ele almak için normal yama programını kırdı.
“SessionReaper” olarak adlandırılan bu güvenlik açığı, saldırganların Magento Web API’sindeki giriş doğrulamasını atlamasına izin vererek, geçerli oturum belirteçleri gerektirmeden otomatik hesap devralma, veri hırsızlığı ve hileli siparişleri sağlıyor.
Adobe, 9 Eylül Salı günü 14:00 UTC’de – 14 Ekim’de planlanan güncellemesinden bir ay önce – acil bir düzeltme yayınlayacak ve tüccarları yaygın olarak sömürüyü engellemeye hemen hazırlamaya çağırıyor.
Session, ShopLift (2015), Ambionics SQLI (2019), Trojanorder (2022) ve Cosmicsting (2024) gibi kötü şöhretli güvenlik açıklarına rakip olan tarihteki en şiddetli Magento güvenlik açıkları arasındadır.
Önceki her istismar, binlerce mağazanın kamuoyunun açıklanmasından sonraki saatler içinde tehlikeye atılmasına yol açtı.
Adobe başlangıçta 22 Ağustos’ta dahili olarak bir acil durum yamasını tartıştı ve 4 Eylül’de ticaret müşterilerine önceden bildirimde bulundu, ancak açık kaynaklı Magento kullanıcıları, daha geniş toplulukta şeffaflık eksikliği konusunda hayal kırıklığını tetikleyerek hiçbir uyarı almadı.
| Tarih | Dönüm noktası |
|---|---|
| 2025-08-22 | Adobe, acil durum seansaer düzeltmesinin iç gelişimine başlar |
| 2025-09-04 | Adobe Commerce müşterilerine gönderilen özel bildirim |
| 2025-09-09 | CVE-2025-54236 için Acil Durum Yaması, 14:00 UTC’de halka açık sürüm için planlandı |
Magento yöneticileri, güncellemeler için Adobe’nin güvenlik sayfasını izlemeli ve yayınlandıktan hemen sonra resmi yamayı indirmelidir. Adobe’nin Danışma ve Yama İndirme Magento Güvenlik Merkezi’nde sunulacak.
Sansec Shield’ı kullanan tüccarlar zaten oturum kaynaklı otomatik kötüye kullanıma karşı korunuyor.
Sansec Shield olmayan mağazalar, evreleme ortamlarında yama testine öncelik vermeli ve üretime derhal konuşlandırmayı planlamalıdır.
Bir Konsept Yaması-CVE-2025-54236 WebAPI Geliştirme için MCLOUD-14016-sızdırıldı, değiştirdi vendor/magento/framework/Webapi/ServiceInputProcessor.php Sıkı parametre türü kontrollerini uygulamak için.
Bununla birlikte, bu sızıntı resmi değildir ve Adobe’nin son sürümünden farklı olabilir; BT uygulamak risk taşır ve sadece kapsamlı testlerle yapılmalıdır.
Resmi yama yayınlandıktan sonra, mağaza sahipleri:
Evreleme validasyonunu sağlayın.
Güncellemeyi saatler içinde tüm ortamlara dağıtın.
Mevcut oturum çerezlerini geçersiz kılın ve müşteri yeniden kimlik doğrulamasını gerektirir.
API anahtarlarını ve hizmet hesabı kimlik bilgilerini döndürün.
Şüpheli Web API çağrıları için günlükleri izleyin.
Sansec’in portalındaki canlı saldırı yayınlarını, uzlaşma göstergeleri için gözden geçirin.
SessionReaper, Web API hizmeti giriş işlemcisindeki bir güvenlik açığından yararlanır;
Sızan fark, beklenmedik parametre türlerini atlayarak yalnızca basit skaler türlere veya tanınmış API veri nesnelerine izin vermek için bir kontrol ekler.
Resmi yama teyit edilene kadar, yöneticiler uçuş içi kötüye kullanımı azaltmak için sıkı JSON şeması doğrulamasına sahip Web Uygulaması Güvenlik Duvarları gibi telafi edici kontroller eklemelidir.
Adobe’nin normal kadansının dışındaki düzeltmeyi hızlandırma kararı, oturumun kritikliğinin altını çiziyor.
Paylaşılan veya yönetilmeyen barındırma ortamlarında magento çalışan tüccarlar özellikle risk altındadır, çünkü otomatik saldırı araçları açıklamadan hemen sonra eşleştirilmemiş uç noktalar için taranacaktır.
Magento’nun ekosistemindeki hızlı sömürü geçmişi-en yakın zamanda Cosmicsting’in kitle kredi kartı hırsızlığı kampanyalarında görülüyor-iyileştirmeyi saatlerce bile geciktirmenin büyük ölçekli veri ihlallerine ve gelir kaybına yol açabileceğini düşünmektedir.
Magento topluluğu geçmiş olaylardan öğrenmelidir: kapsamlı yama yönetimi, katmanlı savunmalar ve zamanında iletişim, çevrimiçi vitrin önlerini korumak için gereklidir.
Adobe’nin Ekim yama döngüsünden molası, oturumun şiddetini vurgulayan benzeri görülmemiş bir hamle.
Tüccarlar gecikmeden hareket etmeli, acil durum güncellemesini dağıtmalı ve otomatik kötüye kullanımı önlemek ve müşteri verilerini korumak için izlemeyi güçlendirmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.