Bülten No
Son güncelleme:
27 Eki 2025
Adobe Commerce için güvenlik güncellemeleri mevcut | APSB25-94
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB25-94 |
14 Ekim 2025 |
2 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik ve önemli güvenlik açıklarını giderir. Güvenlik açığından başarılı bir şekilde yararlanılması, güvenlik özelliğinin atlatılmasına, ayrıcalık yükseltmeye ve rastgele kod yürütülmesine neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Öncelik Derecelendirmesi | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha2 ve öncesi 2.4.8-p2 ve önceki sürümler 2.4.7-p7 ve öncesi 2.4.6-p12 ve öncesi 2.4.5-p14 ve öncesi 2.4.4-p15 ve öncesi |
2 | Tümü |
| Adobe Commerce B2B |
1.5.3-alpha2 ve öncesi 1.5.2-p2 ve öncesi 1.4.2-p7 ve öncesi 1.3.5-p12 ve öncesi 1.3.4-p14 ve öncesi 1.3.3-p15 ve öncesi |
2 | Tümü |
| Magento Open Source | 2.4.9-alpha2 2.4.8-p2 ve önceki sürümler 2.4.7-p7 ve öncesi 2.4.6-p12 ve öncesi |
2 | Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9-alpha2 için 2.4.9-alpha3 2.4.8-p2 ve öncesi için 2.4.8-p3 2.4.7-p7 ve öncesi için 2.4.7-p8 2.4.6-p12 ve öcnesi için 2.4.6-p13 2.4.5-p14 ve öncesi için 2.4.5-p15 2.4.4-p15 ve öncesi için 2.4.4 p16 |
Tümü | 2 | 2.4.x sürüm notları |
| Adobe Commerce B2B | 1.5.3-alpha2 için 1.5.3-alpha3 1.5.2-p2 ve öncesi için 1.5.2-p3 1.4.2-p7 ve öncesi için 1.4.2-p8 1.3.4-p14 ve öncesi için 1.3.4-p15 1.3.3-p13 ve önceki sürümler için 1.3.3-p14 1.3.3-p15 ve öncesi için 1.3.3-p16 |
Tümü | 2 | |
| Magento Open Source | 2.4.9-alpha2 için 2.4.9-alpha3 2.4.8-p2 ve öncesi için 2.4.8-p3 2.4.7-p7 ve öncesi için 2.4.7-p8 2.4.6-p12 ve öcnesi için 2.4.6-p13 |
Tümü | 2 |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Kritik | Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N | CVE-2025-54263 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Ayrıcalığı yükseltme | Kritik | Evet | Evet | 8.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N | CVE-2025-54264 | |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Önemli | Hayır | Hayır | 5.9 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | CVE-2025-54265 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Önemli | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2025-54266 | |
| Yanlış Yetkilendirme(CWE-863) | Ayrıcalığı yükseltme | Önemli | Evet | Evet | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-54267 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- Akash Hamal (akashhamal0x01) -- CVE-2025-54263, CVE-2025-54265, CVE-2025-54267
- wohli -- CVE-2025-54264
- Oleksii Suchalkin (schemonah) -- CVE-2025-54266
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Değişiklikler
15 Ekim 2025 -- CVE-2025-54263: Güvenlik açığı kategorisi, CVSS vektörü ve CVSS temel puanı düzeltildi.
16 Ekim 2025 -- Adobe Commerce B2B için 1.3.4-p14 ve önceki sürümlerde 1.3.4-p15 çözüm sürümü düzeltildi; Magento Open Source için etkilenen sürümler ve çözüm sürümlerinden 2.4.5 kaldırıldı.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
