Bülten No
Son güncelleme:
21 May 2026
Adobe Commerce için güvenlik güncellemesi mevcut | APSB26-49
|
|
Yayınlandığı Tarih |
Öncelik |
|---|---|---|
|
APSB26-49 |
12 Mayıs 2026 |
2 |
Özet
Adobe, Adobe Commerce ve Magento Open Source için güvenlik güncellemeleri yayınladı. Bu güncelleme kritik, önemli ve orta dereceli güvenlik açıklarını giderir. Açıktan başarılı bir şekilde yararlanılması, rastgele kod yürütülmesine, rastgele dosya sistemi okumasına, uygulama hizmet reddine ve güvenlik özelliğinin atlatılmasına neden olabilir.
Adobe, bu güncellemelerde ele alınan sorunların şirket dışında yaşandığına dair bir duyum almamıştır.
Etkilenen Sürümler
| Ürün | Sürüm | Öncelik Derecelendirmesi | Platform |
|---|---|---|---|
| Adobe Commerce |
2.4.9-beta1 2.4.8-p4 ve öncesi 2.4.7-p9 ve öncesi 2.4.6-p14 ve öncesi 2.4.5-p16 ve öncesi 2.4.4-p17 ve öncesi |
2 | Tümü |
| Adobe Commerce B2B |
1.5.3-beta1 1.5.2-p4 ve öncesi 1.4.2-p9 ve öncesi 1.3.4-p16 ve öncesi 1.3.3-p17 ve öncesi |
2 | Tümü |
| Magento Open Source | 2.4.9-beta1 2.4.8-p4 ve öncesi 2.4.7-p9 ve öncesi 2.4.6-p14 ve öncesi |
2 | Tümü |
Çözüm
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
| Ürün | Güncel sürüm | Platform | Öncelik Derecelendirmesi | Kurulum Talimatları |
|---|---|---|---|---|
| Adobe Commerce | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 2.4.5-p17 2.4.4-p18 |
Tümü | 2 | 2.4.x Sürüm Notları |
| Adobe Commerce B2B | 1.5.3 1.5.2-p5 1.4.2-p10 1.3.4-p17 1.3.3-p18 |
Tümü | 2 | 2.4.x Sürüm Notları |
| Magento Open Source | 2.4.9 2.4.8-p5 2.4.7-p10 2.4.6-p15 |
Tümü | 2 | 2.4.x Sürüm Notları |
Adobe bu güncellemeleri öncelik derecelendirmeleri ile kategorize etmekte ve kullanıcıların programlarını en son sürüme güncellemelerini önermektedir.
Güvenlik Açığı Detayları
| Güvenlik Açığı Kategorisi | Güvenlik Açığı Etkisi | Önem Derecesi | Açıktan yararlanma için kimlik doğrulama gerekli mi? | Açıktan yararlanma yönetici ayrıcalıkları gerektiriyor mu? |
CVSS baz skoru |
CVSS vektörü |
CVE sayısı | Notlar |
|---|---|---|---|---|---|---|---|---|
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Kritik | Hayır | Evet | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34645 | |
| Yanlış Yetkilendirme(CWE-863) | Güvenlik özelliği atlatması | Kritik | Hayır | Evet | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N | CVE-2026-34646 | |
| Sunucu Tarafı İstek Sahteciliği (SSRF) (CWE-918) | Güvenlik özelliği atlatması | Kritik | Hayır | Evet | 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CVE-2026-34647 | |
| Kontrolsüz Kaynak Tüketimi (CWE-400) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34648 | |
| Kontrolsüz Kaynak Tüketimi (CWE-400) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34649 | |
| Kontrolsüz Kaynak Tüketimi (CWE-400) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34650 | |
| Kontrolsüz Kaynak Tüketimi (CWE-400) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34651 | |
| Güvenlik Açığı Bulunan Üçüncü Taraf Bileşenine Bağımlılık (CWE-1395) | Uygulama hizmet engelleme | Kritik | Hayır | Hayır | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34652 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Kritik | Evet | Evet | 8.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | CVE-2026-34686 | |
| Bir Yol Adının Kısıtlı Bir Dizinle Uygunsuz Şekilde Sınırlanması ('Yol Geçişi') (CWE-22) | Rastgele sistem dosyası yazılması | Kritik | Evet | Evet | 8.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N | CVE-2026-34653 | |
| Güvenlik Açığı Bulunan Üçüncü Taraf Bileşenine Bağımlılık (CWE-1395) | Uygulama hizmet engelleme | Önemli | Evet | Hayır | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CVE-2026-34654 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Önemli | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34655 | |
| Uygunsuz Yetkilendirme (CWE-285) | Güvenlik özelliği atlatması | önemli | Hayır | Hayır | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | CVE-2026-34656 | |
| Siteler Arası Betik (Depolanan XSS) (CWE-79) | Rastgele kod yürütme | Önemli | Evet | Evet | 4.8 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34658 | |
| Uygunsuz Giriş Doğrulaması (CWE-20) | Rastgele kod yürütme | Orta Dereceli | Evet | Evet | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N | CVE-2026-34685 |
Not:
Açıktan yararlanmak için kimlik doğrulaması gerekiyor: Güvenlik açığından kimlik bilgileri olmadan yararlanılabilir (veya yararlanılamaz).
Yönetici ayrıcalıkları gerektirir: Güvenlik açığından yalnızca yönetici ayrıcalıklarına sahip bir saldırgan yararlanabilir (veya yararlanamaz).
Teşekkür
Adobe, bu sorunları bildirdikleri ve müşterilerimizin korunmasına yardımcı olmak için Adobe ile çalıştıkları için aşağıdaki araştırmacılara teşekkür eder:
- thlassche -- CVE-2026-34645, CVE-2026-34646, CVE-2026-34656
- 0x0doteth -- CVE-2026-34647
- bau1u -- CVE-2026-34648, CVE-2026-34649, CVE-2026-34650, CVE-2026-34651
- wash0ut -- CVE-2026-34652
rez0 -- CVE-2026-34653
- akouba -- CVE-2026-34654
srcoder -- CVE-2026-34655
- schemonah -- CVE-2026-34658
- truff -- CVE-2026-34685
- Ray Wolf (raywolfmaster) -- CVE-2026-34686
NOT: Adobe'nin HackerOne ile herkese açık hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen https://hackerone.com/adobe sayfasına göz atın.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin.
