Adobe, Magento e-ticaret platformunda kritik “SessionReaper” güvenlik açığını yamadı

Adobe, e-ticaret çözümleri Commerce ve Magento Open Source platformlarında kritik bir güvenlik açığı için acil güncelleme yayımladı. “SessionReaper” olarak adlandırılan CVE-2025-54236 zafiyeti, herhangi bir kimlik doğrulama gerektirmeden Commerce REST API üzerinden müşteri hesaplarının ele geçirilmesine yol açabiliyor.

Siber güvenlik firması Sansec’e göre Adobe, 4 Eylül’de seçili müşterilerini güvenlik açığı hakkında bilgilendirmiş ve 9 Eylül’de yama yayımlayacağını duyurmuştu. Adobe Commerce Cloud kullanıcıları için geçici olarak web uygulama güvenlik duvarı (WAF) kuralı devreye alınmıştı.

Adobe, güvenlik bülteninde şu ana kadar açık istismarına dair bir bulgu olmadığını açıkladı. Ancak Sansec, CVE-2025-54236 için hazırlanan ilk hotfix’in geçtiğimiz hafta sızdırıldığını ve bunun tehdit aktörlerine avantaj sağlayabileceğini belirtti.

Araştırmacılar, açığın özellikle oturum verilerinin dosya sisteminde depolandığı mağaza kurulumlarında etkili olduğunu vurguladı. Bu durum, çoğu varsayılan yapılandırmanın savunmasız olduğunu ortaya koyuyor.

Hemen güncelleme tavsiyesi
Adobe, yamayı doğrudan indirilebilir paket olarak yayımladı ve yöneticilerin test edip vakit kaybetmeden dağıtmalarını tavsiye etti. Şirket, düzeltmenin Magento’nun bazı dahili işlevlerini devre dışı bırakabileceğini, bu nedenle özel veya harici kodlarda uyumsuzluk yaşanabileceğini açıkladı.

Sansec, SessionReaper açığının yakın geçmişteki CosmicSting, TrojanOrder, Ambionics SQLi ve Shoplift vakalarıyla aynı ciddiyet seviyesinde olduğunu ve otomasyon yoluyla kitlesel istismara uygun olduğunu belirtiyor.

Araştırmacılar, açığın teknik ayrıntılarını paylaşmadı ancak saldırının geçen yılki CosmicSting ile benzer bir model izlediğini kaydetti.

Kaynak: Beykozun Sesi