ABD CISA'dan Kritik Uyarı: Adobe ColdFusion, Joomla ve Langflow Güvenlik Açıkları Aktif Olarak Kullanılıyor Windows

ABD CISA'dan Kritik Uyarı: Adobe ColdFusion, Joomla ve Langflow Güvenlik Açıkları Aktif Olarak Kullanılıyor

ABD CISA, Adobe ColdFusion, Joomlack Page Builder, Langflow ve JoomShaper SP Page Builder'daki kritik güvenlik açıklarını aktif istismar nedeniyle KEV

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Adobe ColdFusion, Joomlack Page Builder, Langflow ve JoomShaper SP Page Builder yazılımlarındaki dört güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Bu hamle, söz konusu zafiyetlerin vahşi ortamda aktif olarak istismar edilmeye başlandığı yönündeki raporların ardından geldi. CISA, Federal Sivil Yürütme Organları (FCEB) için bağlayıcı olan BOD 22-01 direktifi kapsamında, bu açıkların 10 Temmuz 2026 tarihine kadar giderilmesini emretti. Özel sektör kuruluşlarının da kataloğu inceleyerek altyapılarındaki ilgili zafiyetleri acilen kapatmaları tavsiye ediliyor.

Kataloğa eklenen ilk güvenlik açığı CVE-2026-48282, Adobe ColdFusion'da maksimum şiddette bir yol geçişi (path traversal) zafiyeti. Bu açık, kimlik doğrulaması olmadan uzaktan kod çalıştırılmasına izin veriyor. ColdFusion 2025.9, 2023.20 ve önceki sürümleri etkileyen bu güvenlik açığı, Adobe tarafından kolay istismar edilebilir olarak sınıflandırıldı ve saldırganların hemen harekete geçtiği görüldü. KEVIntel araştırmacıları, açığın detaylarının kamuya açıklanmasından sadece iki saat sonra, Hindistan merkezli bir saldırganın 103.207.14.220 IP adresinden istismar girişimlerine başladığını tespit etti.

İkinci güvenlik açığı CVE-2026-48908, JoomShaper SP Page Builder eklentisinde bulunuyor. Bu zafiyet, saldırganların kötü niyetli bir PHP dosyası yüklemesine ve savunmasız sitelerde yeni bir yönetici hesabı oluşturmasına olanak tanıyor. mySites.guru tarafından yapılan uyarıya göre, yama yayınlandıktan saatler sonra vahşi ortamda istismar edilmeye başlandı. Saldırganların /media/com_pagebuilderck/gfonts/bhup.php yoluna bir web shell yerleştirdiği tespit edildi. Site sahiplerinin SP Page Builder'ı 6.6.2+ sürümüne güncellemeleri ve yükleme/medya klasörlerinde şüpheli PHP dosyalarını kontrol etmeleri gerekiyor.

Üçüncü açık CVE-2026-55255, Langflow'da bir yetkilendirme atlatma zafiyeti. Kimlik doğrulaması yapmış bir saldırgan, başka bir kullanıcının akış kimliğini (flow ID) talep içinde belirterek o kullanıcıya ait tüm akışları çalıştırabiliyor. Sysdig araştırmacıları, 22-25 Haziran tarihleri arasında bu zafiyetin CVE-2026-33017 ile birlikte istismar edildiğini gözlemledi. Saldırgan, uzaktan kod çalıştırma açığıyla birleştirerek açık sunuculara erişti, LLM sağlayıcı ve AWS anahtarlarını çaldı ve ek kötü amaçlı yazılım dağıtmaya çalıştı. Sysdig, kampanyanın finansal motivasyonlu olduğunu ve botnet veya kripto madenciliği faaliyetlerini hedeflediğini belirtiyor.

Gelecekte Ne Bekleniyor?

Son güvenlik açığı CVE-2026-56290, Joomlack Page Builder'da kritik bir yetkisiz erişim zafiyeti. Kimlik doğrulaması yapmamış saldırganların kötü niyetli dosyalar yüklemesine ve savunmasız sunucularda uzaktan kod çalıştırmasına izin veriyor. Bu açık, Page Builder CK kullanan sitelerde web shell kurulumu için kullanılıyor. Kullanıcıların Page Builder CK'yi 3.6.0+ sürümüne güncellemeleri ve hemen ardından sistemlerini tehlike işaretlerine karşı taramaları öneriliyor. mySites.guru, etkilenen tüm siteleri yeni 'Önemli' sekmesinde işaretlediğini ve şüpheli içerik aracının aktif olarak bu tür web shell'leri yakaladığını bildirdi.

CISA'nın KEV kataloğuna eklediği bu dört güvenlik açığı, özellikle içerik yönetim sistemleri ve AI orkestrasyon platformlarının hedef haline geldiğini gösteriyor. Langflow örneği, AI platformlarının hassas kimlik bilgilerini depolaması nedeniyle siber suçlular için değerli bir hedef olduğunu ortaya koyuyor. Adobe ColdFusion gibi eski ama yaygın kullanılan yazılımlar ise hala büyük bir risk oluşturuyor. Uzmanlar, tüm kuruluşların bu açıkları acilen yamalamasını ve ağlarında anormallik olup olmadığını kontrol etmesini tavsiye ediyor.

Federal kurumlar için son tarih 10 Temmuz 2026 olsa da, saldırganların yamalar yayınlanır yayınlanmaz harekete geçtiği görülüyor. Bu nedenle özel sektörün de beklemeden gerekli güncellemeleri yapması hayati önem taşıyor. Özellikle Joomla tabanlı siteler, SP Page Builder ve Page Builder CK eklentilerini güncellemeli ve yükleme dizinlerinde şüpheli dosyaları aramalıdır. Ayrıca Langflow kullanıcıları, yetkilendirme kontrollerini gözden geçirmeli ve erişim anahtarlarını döndürmelidir.

Kaynak: securityaffairs.com

Paylaş: