Bülten No
Son güncelleme:
24 Nis 2025
Adobe Commerce için güvenlik güncellemesi mevcut | APSB25-26
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB25-26 |
08 Nisan 2025 Çarşamba |
2 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme önemli ve orta düzeyde güvenlik açıklarını giderir. Güvenlik açığından başarılı bir şekilde yararlanılması güvenlik özelliklerinin atlanmasına, ayrıcalık yükseltmeye ve uygulama hizmet engellemeye yol açabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8-beta2 2.4.7-p4 ve önceki sürümler 2.4.6-p9 ve önceki sürümler 2.4.5-p11 ve önceki sürümler 2.4.4-p12 ve önceki sürümler |
Tümü |
| Adobe Commerce B2B |
1.5.1 ve önceki sürümler 1.4.2-p4 ve önceki sürümler 1.3.5-p9 ve önceki sürümler 1.3.4-p11 ve önceki sürümler 1.3.3-p12 ve önceki sürümler |
Tümü |
| Magento Open Source | 2.4.8-beta2 2.4.7-p4 ve önceki sürümler 2.4.6-p9 ve önceki sürümler 2.4.5-p11 ve önceki sürümler 2.4.4-p12 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.8-beta2 için 2.4.8 2.4.7-p4 ve önceki sürümler için 2.4.7-p5 2.4.6-p9 ve önceki sürümler için 2.4.6-p10 2.4.5-p11 ve önceki sürümler için 2.4.5-p12 2.4.4-p12 ve önceki sürümler için 2.4.4-p13 |
Tümü |
2 |
|
| Adobe Commerce B2B |
1.5.1 için 1.5.2 1.4.2-p4 ve önceki sürümler için 1.4.2-p5 1.3.5-p9 ve önceki sürümler için 1.3.5-p10 1.3.4-p11 ve önceki sürümler için 1.3.4-p12 1.3.3-p12 ve önceki sürümler için 1.3.3-p13 |
Tümü | 2 | |
| Magento Open Source |
2.4.8-beta2 için 2.4.8 2.4.7-p4 ve önceki sürümler için 2.4.7-p5 2.4.6-p9 ve önceki sürümler için 2.4.6-p10 2.4.5-p11 ve önceki sürümler için 2.4.5-p12 2.4.4-p12 ve önceki sürümler için 2.4.4-p13 |
Tümü |
2 |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Uygunsuz Yetkilendirme (CWE-285) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27188 | |
| Cross-Site Request Forgery (CSRF) (CWE-352) | Uygulama hizmet engelleme | Önemli | Evet | Evet | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2025-27189 | Sadece B2B |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27190 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27191 | |
| Yetersiz Korunan Kimlik Bilgileri (CWE-522) | Güvenlik özelliği atlatması | Orta Dereceli | Evet | Evet | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-27192 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- sheikhrishad0 - CVE-2025-27190, CVE-2025-27191
- Akash Hamal (akashhamal0x01) - CVE-2025-27188
- Bobby Tabl35 (bobbytabl35_) - CVE-2025-27189
- Javier Corral (corraldev) - CVE-2025-27192
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
