Bülten No
Son güncelleme:
8 Tem 2025
Adobe Commerce için güvenlik güncellemesi mevcut | APSB25-50
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB25-50 |
10 Haziran 2025 |
1 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta düzeydeki güvenlik açıklarını giderir. Güvenlik açığından başarılı bir şekilde yararlanılması, güvenlik özelliğinin atlatılmasına, ayrıcalık yükseltmeye ve rastgele kod yürütülmesine neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 ve önceki sürümler 2.4.6-p10 ve önceki sürümler 2.4.5-p12 ve önceki sürümler 2.4.4-p13 ve önceki sürümler |
Tümü |
| Adobe Commerce B2B |
1.5.2 ve önceki sürümler 1.4.2-p5 ve önceki sürümler 1.3.5-p10 ve önceki sürümler 1.3.4-p12 ve önceki sürümler 1.3.3-p13 ve önceki sürümler |
Tümü |
| Magento Open Source | 2.4.8 2.4.7-p5 ve önceki sürümler 2.4.6-p10 ve önceki sürümler 2.4.5-p12 ve önceki sürümler |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8 için 2.4.8-p1 2.4.7-p5 ve önceki sürümler için 2.4.7-p6 2.4.6-p10 ve önceki sürümler için 2.4.6-p11 2.4.5-p12 ve önceki sürümler için 2.4.5-p13 2.4.4.p13 ve önceki sürümler için 2.4.4-p14 |
Tümü |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2 için 1.5.2-p1 1.4.2-p5 ve önceki sürümler için 1.4.2-p6 1.3.4-p12 ve önceki sürümler için 1.3.4-p13 1.3.3-p13 ve önceki sürümler için 1.3.3-p14 |
Tümü | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8 için 2.4.8-p1 2.4.7-p5 ve önceki sürümler için 2.4.7-p6 2.4.6-p10 ve önceki sürümler için 2.4.6-p11 2.4.5-p12 ve önceki sürümler için 2.4.5-p13 |
Tümü |
2 | |
| Adobe Commerce ve Magento Open Source | CVE-2025-47110 için izole yama | Tümü | 1 | CVE-2025-47110 İzole Yaması için Sürüm Notları |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Cross-site Scripting (Reflected XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Uygunsuz Yetkilendirme (CWE-285) | Güvenlik özelliği atlatması | Kritik | Evet | Hayır | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Sadece B2B |
| Uygunsuz Erişim Kontrolü (CWE-284) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Sadece B2B |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Önemli | Hayır | Hayır | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Orta Dereceli | Evet | Evet | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 - CVE-2025-27206
- wohlie - CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
Değişiklikler
25 Haziran 2025: CVE-2025-49549 ve CVE-2025-49550 eklendi
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
