CVE-2025-54236: Adobe Commerce istifadəçiləri üçün təhlükəli zəiflik
Adobe Commerce və Magento Open Source platformalarında «SessionReaper» adlı kritik boşluq aşkarlandı. Adobe düzəliş paketi yayımlayıb.
Adobe Commerce və Magento Open Source platformalarında kritik «SessionReaper» boşluğu aşkarlanıb
«The Hacker News» xəbər verir ki, Adobe Commerce və Magento Open Source sistemlərində CVE-2025-54236 identifikatoru ilə qeyd edilən «SessionReaper» adlı təhlükəli boşluq aşkarlanıb. Söhbət CVSS göstəricisi 9.1 bal səviyyəsində qiymətləndirilən, müştəri hesablarının ələ keçirilməsinə imkan yaradan zəiflikdən gedir.
Adobe hələlik real hücum faktlarının qeydə alınmadığını açıqlayıb. Şirkətin məlumatına əsasən, potenisal hücumçu Commerce REST API vasitəsilə müştəri hesablarına təkrar giriş imkanını əldə edə bilər. Problemin təsiri həm Adobe Commerce, həm də Magento Open Source-un 2.4.9-alpha2 və əvvəlki bütün buraxılışlarını əhatə edir.
Son Xəbərlər
Xiaomi 15 Ultra Qlobal Versiyası
Xiaomi yeni flaqman modeli Xiaomi 15 Ultra-nı qlobal satışa çıxaracağını təsdiqlədi. HyperOS 2.0 ilə yeni dövr başlayır!
Samsung-un Üçqatlanan Telefonu
Samsung, Galaxy Unpacked tədbirində üçqatlanan telefon konseptini təqdim etdi. Yeniliklər haqqında daha çox məlumat əldə edin.
Realme GT 7: Ən Ucuz Smartfon
Snapdragon 8 Elite çipi ilə Realme GT 7 fevral ayında təqdim ediləcək. Yeni xüsusiyyətlər və uyğun qiymət gözləyir.
Bura həmçinin Adobe Commerce B2B-nin 1.5.3-alpha2 və əvvəlki versiyaları, eləcə də Custom Attributes Serializable modulunun 0.1.0–0.4.0 arası buraxılışları da daxildir. Adobe dərhal təhlükəsizliyi təmin etmək üçün korreksiya paketi təqdim edib, əlavə olaraq Commerce Cloud müştərilərini qorumaq üçün WAF qaydaları tətbiq edib.
Niderland mərkəzli Sansec şirkəti yaranmış vəziyyəti Magento tarixindəki ən ağır boşluqlardan biri kimi dəyərləndirib. Bu zəiflik vaxtilə böyük rezonans doğuran Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) və CosmicSting (2024) hücumları ilə müqayisə olunur.
Mütəxəssislərin sözlərinə görə, «SessionReaper» ötənilki CosmicSting boşluğuna oxşayır. Hazırda zəiflikdən istismar fayl-əsaslı sessiya saxlama ilə mümkündür, amma Redis və verilənlər bazası üzərindən işləyən satıcılara da xüsusi ehtiyatlılıq tövsiyə olunur. Bu isə təhlükənin yalnız bir ssenari ilə məhdudlaşmadığını göstərir.
Həmçinin bildirilib ki, Adobe ColdFusion platformasında aşkarlanan CVE-2025-54261 identifikatorlu path traversal boşluğunu da aradan qaldırmaq üçün düzəliş paketi dərc edib. Problem ColdFusion-un 2021, 2023 və 2025 buraxılışlarının hamısında mövcud idi.
Bu xəbəri necə dəyərləndirirsiniz?
