Adobe’nin Kritik Güvenlik Açığı
Adobe, Commerce ve Magento Open Source platformlarında kritik bir güvenlik açığı tespit ettiğini duyurdu. Bu hata, kötü niyetli kişilerin müşteri hesaplarına erişim sağlamasını mümkün kılabilecek bir durum yaratmaktadır. CVE-2025-54236 olarak bilinen bu güvenlik açığı, CVSS sisteminde 10 üzerinden 9.1 puan alarak önemini gözler önüne sermektedir. Adobe’nun açıklamalarına göre, bu durumdan henüz herhangi bir saldırının gerçekleştirildiğine dair bir bilgi bulunmamaktadır.
Vulnerabilitenin Etkilediği Ürünler
Söz konusu güvenlik açığı, aşağıdaki ürün ve sürümleri etkilemektedir:
Adobe Commerce (tüm dağıtım yöntemleri):
- 2.4.9-alpha2 ve daha önceki sürümler
- 2.4.8-p2 ve daha önceki sürümler
- 2.4.7-p7 ve daha önceki sürümler
- 2.4.6-p12 ve daha önceki sürümler
- 2.4.5-p14 ve daha önceki sürümler
- 2.4.4-p15 ve daha önceki sürümler
Adobe Commerce B2B:
- 1.5.3-alpha2 ve daha önceki sürümler
- 1.5.2-p2 ve daha önceki sürümler
- 1.4.2-p7 ve daha önceki sürümler
- 1.3.4-p14 ve daha önceki sürümler
- 1.3.3-p15 ve daha önceki sürümler
Magento Open Source:
- 2.4.9-alpha2 ve daha önceki sürümler
- 2.4.8-p2 ve daha önceki sürümler
- 2.4.7-p7 ve daha önceki sürümler
- 2.4.6-p12 ve daha önceki sürümler
- 2.4.5-p14 ve daha önceki sürümler
Güvenlik Açığının Potansiyel Etkileri
Adobe, bu güvenlik açığının etkin bir şekilde sömürüldüğünde, Adobe Commerce üzerindeki müşteri hesaplarının ele geçirilmesine yol açabileceğini belirtti. Commerce REST API aracılığıyla yapılan saldırılar, potansiyel olarak çok fazla kullanıcıyı etkileyebilir. Güvenlik araştırmacıları, daha önceki yıllarda yaşanan bazı büyük saldırılar ile benzerlik taşıdığını ifade etmektedir. Örneğin, Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) ve CosmicSting (2024) olayları, Magento sistemlerindeki zafiyetlerin ciddi sonuçlar doğurabileceğini göstermektedir.
Önerilen Önlemler ve Güncellemeler
Adobe, bu güvenlik açığını gidermek amacıyla bir hotfix yayınlamanın yanı sıra, Web Application Firewall (WAF) kuralları da uygulamıştır. Bu kurallar, Adobe Commerce kullanan satış yerlerini, potansiyel saldırılara karşı koruma amacı taşımaktadır. Sansec isimli bir e-ticaret güvenlik şirketi, CVE-2025-54236’nın nasıl kötüye kullanılabileceğine dair bazı yöntemleri başarıyla yeniden üretmiştir. Şirket, saldırının Magento REST API‘sindeki iç içe geçmiş deserialization hatalarını kullandığını belirtmiştir.
Alternatif Protokoller ve Depolama Yöntemleri
Güvenlik araştırmacıları, uzak kod yürütme için gereken özel vektörlerin, dosya tabanlı oturum depolama gerektirdiğini fakat Redis veya veritabanı oturumları kullanan ticaretçilere de hemen harekete geçmeleri tavsiye edilmektedir. Bunun sebebi, bu açığın sömürülebilmesi için alternatif yöntemler de bulunmasıdır.
ColdFusion Üzerindeki Güvenlik Açıkları
Adobe, aynı zamanda ColdFusion üzerindeki kritik bir yol geçiş açığını da düzeltmiştir (CVE-2025-54261; CVSS puanı: 9.0). Bu güvenlik açığı, dosya sistemine keyfi yazılmasıyla ilgili riskler taşımaktadır ve ColdFusion 2021, 2023 ve 2025 sürümlerini etkilemektedir. Kullanıcıların bu güncellemeleri acilen yapmaları önerilmektedir.
Sonuç olarak, Adobe’nin bu kritik güvenlik açığını dikkate alarak gerekli güncellemeleri ve önlemleri zamanında alması, hem kendi güvenliği hem de müşterilerinin güvenliği açısından büyük önem taşımaktadır. Bu tür zafiyetlerden korunmak için düzenli güncellemeler ve güvenlik protokollerinin uygulanması, e-ticaret platformlarında sürdürülebilir bir güvenlik sağlamaktadır.
