Bülten No
Son güncelleme:
20 Şub 2025
Adobe Commerce için güvenlik güncellemesi mevcut | APSB25-08
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB25-08 |
11 Şubat 2025 |
1 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta seviye güvenlik açıklıklarını çözer. Başarılı bir istismar, rastgele kod yürütülmesine, güvenlik özelliği atlama ve ayrıcalık yükseltmeye neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta1 2.4.7-p3 ve öncesi 2.4.6-p8 ve öncesi 2.4.5-p10 ve öncesi 2.4.4-p11 ve öncesi |
Tümü |
| Adobe Commerce B2B |
1.5.0 ve öncesi 1.4.2-p3 ve öncesi |
Tümü |
| Magento Open Source | 2.4.8-beta1 2.4.7-p3 ve öncesi 2.4.6-p8 ve öncesi 2.4.5-p10 ve öncesi 2.4.4-p11 ve öncesi |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta1 için 2.4.8-beta2 |
Tümü |
2 |
|
| Adobe Commerce B2B |
1.5.1 ve öncesi 1.4.2-p3 ve öncesi için 1.4.2-p4 |
Tümü | 2 | |
| Magento Open Source |
2.4.8-beta1 için 2.4.8-beta2 |
Tümü |
2 | |
| Adobe Commerce ve Magento Open Source | CVE-2025-24434 için izole yama | Tümü | 1 | CVE-2025-24434 İzole Yaması için Sürüm Notları |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) | Ayrıcalığı yükseltme | Kritik |
Evet | Evet | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24406 | |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Kritik | Evet | Hayır | 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24407 | Yalnızca B2B sürümü için geçerlidir |
| Bilgi Açığa Çıkması (CWE-200) | Ayrıcalığı yükseltme | Kritik | Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H | CVE-2025-24408 | |
| Uygunsuz Yetkilendirme (CWE-285) | Güvenlik özelliği atlatması | Kritik | Evet | Hayır | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N | CVE-2025-24409 | |
| Uygunsuz Yetkilendirme (CWE-285) | Ayrıcalığı yükseltme | Kritik | Hayır | Hayır | 9.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L | CVE-2025-24434 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24410 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Kritik | Evet | Evet | 8.8 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CVE-2025-24411 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24412 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-24438 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24413 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24414 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24415 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24416 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.9 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L | CVE-2025-24417 | |
| Güvenli Tasarım İlkelerinin İhlali (CWE-657) | Ayrıcalığı yükseltme | Önemli | Evet | Hayır | 6.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N | CVE-2025-24418 | Yalnızca B2B sürümü için geçerlidir |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24419 | Yalnızca B2B sürümü için geçerlidir |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24420 | Yalnızca B2B sürümü için geçerlidir |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24421 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Hayır | Hayır | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24422 | Yalnızca B2B sürümü için geçerlidir |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Hayır | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24423 | Yalnızca B2B sürümü için geçerlidir |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24435 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24436 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N | CVE-2025-24437 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24424 | Yalnızca B2B sürümü için geçerlidir |
| İş Mantığı Hataları (CWE-840) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24425 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-24426 | Yalnızca B2B sürümü için geçerlidir |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-24427 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Önemli | Evet | Hayır | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2025-24428 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Orta Dereceli | Evet | Evet | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N | CVE-2025-24429 | |
| Kontrol Zamanı Kullanım Zamanı (TOCTOU) Yarış Koşulu (CWE-367) | Güvenlik özelliği atlatması | Orta Dereceli | Hayır | Hayır | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24430 | |
| Kontrol Zamanı Kullanım Zamanı (TOCTOU) Yarış Koşulu (CWE-367) | Güvenlik özelliği atlatması | Orta Dereceli | Hayır | Hayır | 3.7 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-24432 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Akash Hamal (akashhamal0x01) - CVE-2025-24411, CVE-2025-24418, CVE-2025-24419, CVE-2025-24420, CVE-2025-24421, CVE-2025-24422, CVE-2025-24423, CVE-2025-24424, CVE-2025-24425, CVE-2025-24426, CVE-2025-24427, CVE-2025-24429, CVE-2025-24435, CVE-2025-24437
- wohlie - CVE-2025-24408, CVE-2025-24410, CVE-2025-24412, CVE-2025-24413, CVE-2025-24414, CVE-2025-24415, CVE-2025-24416, CVE-2025-24417, CVE-2025-24436, CVE-2025-24438
- thlassche - CVE-2025-24409, CVE-2025-24428, CVE-2025-24434
- Alexandrio - CVE-2025-24407
- g0ndaar - CVE-2025-24430
- sheikhrishad0 - CVE-2025-24432
Icare - CVE-2025-24406
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
