Adobe, Commerce ve Magento Open Source platformlarında yer alan CVE-2025-54236 kodlu kritik bir güvenlik açığını duyurdu. Bu zafiyet, Commerce REST API üzerinden müşteri hesaplarının ele geçirilmesine olanak tanıyan bir yanlış doğrulama hatası olarak tanımlanıyor ve 10 üzerinden 9.1 CVSS puanına sahip.

Etki Alanı ve Etkilenen Sürümler

Açık, Adobe Commerce’nin çeşitli dağıtım yöntemlerinde ve sürümlerinde; Adobe Commerce B2B ve Magento Open Source’un belirli sürümlerinde etkili. Ayrıca, Serileştirilebilir modülünün 0.1.0 ile 0.4.0 arasındaki sürümleri de risk altında bulunuyor.

Adobe’nin Müdahalesi ve Güvenlik Önlemleri

Adobe, hızlı bir yama yayımlamanın yanı sıra, saldırı girişimlerine karşı web uygulaması güvenlik duvarı (WAF) kuralları devreye aldı. Bu önlemler, özellikle müşteri hesaplarının korunması için kritik önem taşıyor.

Uzman Görüşü ve Saldırı Benzerlikleri

E-ticaret güvenlik firması Sansec, SessionReaper olarak adlandırılan bu açığın Magento tarihindeki en ciddi zafiyetlerden biri olduğunu belirtiyor. CosmicSting (2024), Shoplift (2015) ve Ambionics SQLi (2019) gibi önceki saldırılarla benzerlikler taşıyan bu zafiyet, kötü niyetli oturum yönetimi ve iç içe serileştirme hataları üzerinden istismar edilebiliyor.

Ek Güvenlik Uyarıları

Adobe ayrıca, ColdFusion platformunda kritik bir yol geçiş zafiyetini (CVE-2025-54261, CVSS 9.0) içeren yamalar yayımladı. Bu zafiyet, ColdFusion 2021, 2023 ve 2025 sürümlerini etkiliyor ve rastgele dosya sistemi yazımına yol açabiliyor.