magento'da polyshell zafiyeti: kimlik doğrulamasız rce vakası
arkadaşlar, magento kullanan e-ticaret sitesi yönetiyorsanız hemen buraya bakın. polyshell denen yeni bir zafiyet ortaya çıktı ve durum ciddi. tüm magento open source ve adobe commerce 2.x sürümlerini etkiliyor, hem de kimlik doğrulaması gerektirmeden uzaktan kod çalıştırma (rce) imkanı veriyor. yani saldırgan kullanıcı adı şifre falan aramıyor, direkt sisteme giriyor.
ne var ne yok bu polyshell meselesinde
CVE-2025-24086 numaralı bu açık, magento’nun phtml template engine’inde bir zafiyet. saldırgan özel hazırlanmış bir istek göndererek sunucuda istediği kodu çalıştırabiliyor. cvss skoru 9.8 (kritik) yani acil acil yamalayın seviyesinde.
spoiler: bu açık sayesinde sadece kod çalıştırma değil, admin hesabı ele geçirme de mümkün. yani saldırgan önce sisteme giriyor, sonra admin paneline de el koyabiliyor. tam bir felaket senaryosu.
teknik detaylar (meraklısına)
zafiyet şöyle işliyor:
- saldırgan magento’nun template işleme mekanizmasına özel bir payload gönderiyor
- sistem bu payload’ı düzgün sanitize etmeden işliyor
- sonuç: php kodu çalıştırma imkanı
- ardından: admin token çalma ve hesap ele geçirme
saldırı vektörü network üzerinden, yani internete açık tüm magento siteleri risk altında. kullanıcı etkileşimi gerekmiyor, saldırgan tek başına iş bitirebiliyor.
etkilenen sistemler
| Platform | Durum | Versiyon |
|---|---|---|
| Magento Open Source 2.x | 🔴 Etkileniyor | Tüm 2.x sürümleri |
| Adobe Commerce 2.x | 🔴 Etkileniyor | Tüm 2.x sürümleri |
| Magento 1.x | ⚠️ Belirsiz | Zaten EOL |
yapmanız gerekenler
agalar, şimdi hemen şunları yapın:
1. yama kontrolü
# magento versiyonunuzu kontrol edin
php bin/magento --version
# composer ile güncellemeleri kontrol edin
composer outdated "magento/*"
2. güncelleme işlemi
dikkat: önce test ortamında deneyin, sonra production’a geçin. yedek almadan bu işe girişmeyin.
# composer ile güncelleme
composer require magento/product-community-edition=2.4.7-p1 --no-update
composer update
# veritabanı güncellemeleri
php bin/magento setup:upgrade
php bin/magento setup:di:compile
php bin/magento setup:static-content:deploy -f
php bin/magento cache:flush
3. acil kontrol
eğer hemen yamalayamıyorsanız, şu logları kontrol edin:
# şüpheli istekleri arayın
grep -i "phtml" /var/log/apache2/access.log
grep -i "template" /var/log/nginx/access.log
# magento exception loglarına bakın
tail -f var/log/exception.log
tail -f var/log/system.log
geçici çözümler (hemen yamalayamayanlar için)
yamayı anında uygulayamıyorsanız şu önlemleri alın:
1. waf kuralları
cloudflare, modsecurity veya benzeri waf kullanıyorsanız:
# şüpheli template isteklerini blokla
SecRule REQUEST_URI "@contains phtml" "id:1001,phase:1,deny,status:403"
SecRule REQUEST_BODY "@contains template" "id:1002,phase:2,deny,status:403"
2. ip kısıtlaması
admin paneline erişimi bilinen ip’lerle sınırlayın:
# nginx için
location /admin {
allow 1.2.3.4; # ofis ip'niz
deny all;
}
3. rate limiting
# nginx rate limit
limit_req_zone $binary_remote_addr zone=magento:10m rate=10r/s;
limit_req zone=magento burst=20;
saldırı göstergeleri (ioc)
şunları loglarınızda ararsanız iyi olur:
/adminpath’ine anormal sayıda istek- phtml uzantılı dosyalara erişim denemeleri
templateparametresi içeren post istekleri- beklenmedik php dosya oluşturma aktiviteleri
# şüpheli dosya araması
find /var/www/html/magento -type f -name "*.php" -mtime -7
edit: ek bilgiler
- adobe 19 mart 2026’da resmi yamayı yayınladı
- saldırganlar bu açığı aktif olarak taramaya başladı bile
- shodan’da 200k+ magento sitesi görünüyor, hepsi potansiyel hedef
- bazı güvenlik firmaları wild’da sömürü gördüklerini bildirdi
spoiler: bu açık çok ciddi, “sonra yaparım” demeyin. hafta sonu mesaisi bile olsa hemen yamalayın.
kaynaklar
son söz: magento yönetiyorsanız bu hafta sonu planlarınızı iptal edin, sistemi yamalayın. e-ticaret sitesi hack’lenmesi hem maddi hem manevi çok kötü oluyor, müşteri verisi sızması falan derken iş mahkemelik olabiliyor. o yüzden şimdi harekete geçin, sonra değil.
bkz: uzaktan kod çalıştırma zafiyetleri bkz: magento güvenlik güncellemeleri bkz: e-ticaret güvenliği
Bu içerik yapay zeka tarafından oluşturulmuştur.