Bülten No
Son güncelleme:
25 Ağu 2025
Adobe Commerce için güvenlik güncellemesi mevcut | APSB25-71
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB25-71 |
12 Ağustos 2025 |
2 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik ve önemli güvenlik açıklarını giderir. Güvenlik açığından başarılı bir şekilde yararlanılması, güvenlik özelliğinin atlatılmasına, ayrıcalık yükseltmeye, rastgele dosya sistemi okumaya ve uygulama hizmet reddine neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Platform |
|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 ve öncesi 2.4.7-p6 ve öncesi 2.4.6-p11 ve öncesi 2.4.5-p13 ve öncesi 2.4.4-p14 ve öncesi |
Tümü |
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 ve öncesi 1.4.2-p6 ve öncesi 1.3.5-p11 ve öncesi 1.3.4-p13 ve öncesi 1.3.3-p14 ve öncesi |
Tümü |
| Magento Open Source | 2.4.9-alpha1 2.4.8-p1 ve öncesi 2.4.7-p6 ve öncesi 2.4.6-p11 ve öncesi 2.4.5-p13 ve öncesi |
Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 2.4.4-p15 |
Tümü | 2 |
|
| Adobe Commerce B2B |
1.5.3-alpha2 1.5.2-p2 1.4.2-p7 1.3.4-p14 1.3.3-p15 |
Tümü | 2 | |
| Magento Open Source |
2.4.9-alpha2 2.4.8-p2 2.4.7-p7 2.4.6-p12 2.4.5-p14 |
Tümü | 2 |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Uygunsuz Giriş Doğrulaması (CWE-20) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2025-49554 | |
Cross-Site Request Forgery (CSRF) (CWE-352) |
Ayrıcalığı yükseltme | Kritik | Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49555 | |
| Yanlış Yetkilendirme(CWE-863) | Rastgele sistem dosyası okunması | Kritik | Evet | Evet | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-49556 | |
Siteler Arası Betik (Depolanan XSS) (CWE-79) |
Ayrıcalığı yükseltme | Kritik | Evet | Evet | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2025-49557 | |
| Kontrol Zamanı Kullanım Zamanı (TOCTOU) Yarış Koşulu (CWE-367) | Güvenlik özelliği atlatması | Önemli | Evet | Hayır | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2025-49558 | |
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) | Güvenlik özelliği atlatması | Önemli | Evet | Evet | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-49559 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Kieran (kaiksi) -- CVE-2025-49554
- blaklis -- CVE-2025-49555
- Akash Hamal (akashhamal0x01) -- CVE-2025-49556
- wohlie -- CVE-2025-49557
- Lots-o'-Huggin' Bear (evilginx) -- CVE-2025-49558
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
