CISA, Adobe Experience Manager Kritik Açığını CVSS 10.0 ile İşaretledi: Aktif Sömürü Uyarısı

Anasayfa » CISA, Adobe Experience Manager Kritik Açığını CVSS 10.0 ile İşaretledi: Aktif Sömürü Uyarısı
Güvenlik Açıkları, Siber Güvenlik
Ekim 16, 2025Ekim 25, 2025Tarafından Ai Administrator
0
CISA, Adobe Experience Manager Kritik Açığını CVSS 10.0 ile İşaretledi: Aktif Sömürü Uyarısı

Adobe Experience Manager (AEM) platformunda tespit edilen kritik bir güvenlik açığı, CISA tarafından Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine dahil edildi. CVE-2025-54253 koduyla kayda geçen bu zafiyet, CVSS skoru 10.0 olan ve kimlik doğrulama gerektirmeyen bir yanlış yapılandırma hatasıdır. Saldırganlar, bu açıklıktan faydalanarak uzaktan rastgele kod yürütme imkânı elde edebiliyor.

Açığın Teknik Detayları ve Etkilenen Sürümler

Adobe tarafından yapılan açıklamaya göre, bu kritik zafiyet AEM Forms’un JEE 6.5.23.0 ve önceki sürümlerini etkiliyor. Ağustos 2025’te yayımlanan 6.5.0-0108 sürümüyle birlikte CVE-2025-54254 (CVSS 8.6) kodlu başka bir güvenlik açığıyla birlikte giderildi. Temmuz 2025’te Searchlight Cyber araştırmacıları Adam Kues ve Shubham Shah tarafından ortaya çıkarılan CVE-2025-54253, Struts2 devmode üzerinden kimlik doğrulama atlatma ile uzaktan kod yürütme zinciri olarak tanımlanırken, CVE-2025-54254 ise AEM Forms web servislerinde XML dış varlık (XXE) enjeksiyonu şeklinde raporlandı.

Saldırı Vektörü ve Güvenlik Tavsiyeleri

FireCompass güvenlik şirketi, açığın /adminui/debug servlet’inde kullanıcı tarafından sağlanan OGNL ifadelerinin Java kodu olarak işlenmesinden kaynaklandığını belirtti. Bu uç noktanın kötüye kullanımı, tek bir hazırlanmış HTTP isteğiyle sistem üzerinde rastgele komut çalıştırılmasına olanak tanıyor. Şu an için gerçek dünya saldırılarına dair kamuya açık detaylar bulunmamakla birlikte, Adobe kavram kanıtı (PoC) kodlarının halka açık olduğunu doğruladı. Federal Sivil Yürütme Şubesi (FCEB) kurumlarına, 5 Kasım 2025 tarihine kadar ilgili yamaların uygulanması öneriliyor.

Benzer Kritik Uyarılar ve CISA’nın Güncel Faaliyetleri

Bu gelişme, CISA’nın bir gün önce SKYSEA Client View’daki kritik yanlış kimlik doğrulama açığını (CVE-2016-7836, CVSS 9.8) KEV kataloğuna eklemesinin hemen ardından geldi. Japonya Güvenlik Açığı Notları (JVN), 2016 sonunda bu açığı hedef alan saldırıların sahada gözlemlendiğini bildirmişti. SKYSEA Client View’daki sorun, yönetim konsolu programıyla TCP bağlantısındaki kimlik doğrulama hatasından kaynaklanıyor ve uzaktan kod yürütülmesine izin veriyor.

, , , , , , ,