ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bilinen ve aktif olarak sömürülen güvenlik açıklarını içeren KEV (Known Exploited Vulnerabilities) kataloğuna dört yeni kritik zafiyet ekledi. Eklenen açıklar arasında Adobe ColdFusion, Joomlack Page Builder, Langflow ve JoomShaper SP Page Builder yazılımlarını etkileyen güvenlik sorunları bulunuyor. Bu hamle, özellikle federal kurumların ve özel sektörün bu açıkları acilen kapatması için bir uyarı niteliği taşıyor. CISA, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında federal kurumlara bu açıkları 10 Temmuz 2026 tarihine kadar giderme zorunluluğu getirdi.
Eklenen açıklardan ilki ve en kritiği, Adobe ColdFusion'da keşfedilen CVE-2026-48282 numaralı yol geçişi (path traversal) zafiyeti. Maksimum önem derecesine sahip olan bu açık, kimlik doğrulaması gerektirmeksizin uzaktan kod çalıştırmaya (RCE) izin veriyor. Adobe, ColdFusion 2025.9, 2023.20 ve önceki sürümlerini etkileyen bu zafiyetin kolayca istismar edilebildiğini ve saldırganların hedef sunucularda tam kontrol elde etmesine yol açabileceğini belirtti. KEVIntel araştırmacıları, açığın detaylarının kamuya duyurulmasından sadece iki saat sonra saldırganların aktif olarak istismar etmeye başladığını tespit etti. Saldırıların Hindistan merkezli 103.207.14[.]220 IP adresinden gerçekleştirildiği raporlandı.
İkinci kritik açık, popüler Joomla eklentisi JoomShaper SP Page Builder'da bulunan CVE-2026-48908. Bu zafiyet, kimliği doğrulanmamış saldırganların kötü niyetli PHP dosyaları yüklemesine ve sitelerde yeni bir yönetici hesabı oluşturmasına olanak tanıyor. Aynı aileden bir diğer açık olan CVE-2026-56290 ise Joomlack Page Builder eklentisini hedef alıyor ve yine kimlik doğrulaması olmadan dosya yüklemeye ve uzaktan kod çalıştırmaya izin veriyor. mySites.guru tarafından yapılan uyarıya göre, güncelleme yayınlandıktan saatler sonra saldırganların canlı bir web shell'i tespit edildi. Web shell, /media/com_pagebuilderck/gfonts/bhup.php yolunda bulundu ve saldırganın gönderdiği herhangi bir komutu çalıştırabiliyor. Site sahiplerinin derhal SP Page Builder'ı 6.6.2+, Page Builder CK'yi ise 3.6.0+ sürümüne güncellemesi ve yükleme/media klasörlerinde şüpheli PHP dosyalarını kontrol etmesi öneriliyor.
Üçüncü zafiyet, yapay zeka orkestrasyon platformu Langflow'da tespit edilen CVE-2026-55255. Bu açık, kullanıcı tarafından kontrol edilen anahtar yoluyla yetkilendirme atlatmasına (authorization bypass) izin veriyor. Kimliği doğrulanmış bir saldırgan, başka bir kullanıcıya ait flow ID'sini isteğe ekleyerek o kullanıcının tüm flow'larını çalıştırabiliyor. Sysdig araştırmacıları, 22-25 Haziran tarihleri arasında bu açığın CVE-2026-33017 ile birlikte aktif olarak sömürüldüğünü gözlemledi. Saldırganlar, yetkilendirme atlatması ile uzaktan kod çalıştırma açığını birleştirerek açık sunuculara erişti, LLM sağlayıcı anahtarlarını ve AWS kimlik bilgilerini çaldı, ayrıca ek kötü amaçlı yazılım dağıtmaya çalıştı. Sysdig, bu kampanyanın finansal motivasyonlu olduğunu ve botnet veya kripto madenciliği faaliyetlerini hedeflediğini bildirdi.
Detaylar ve Etkileri
CISA'nın bu hamlesi, siber güvenlik dünyasında kritik bir uyarı niteliği taşıyor. Özellikle AI orkestrasyon platformlarının (Langflow gibi) hassas kimlik bilgilerini saklaması nedeniyle saldırganlar için cazip hedefler haline geldiği vurgulanıyor. Uzmanlar, federal kurumların yanı sıra özel sektörün de bu açıkları acilen gidermesi gerektiğini belirtiyor. CISA, bu tür kataloglarla kurumların bilinen zafiyetleri takip etmesini ve proaktif bir güvenlik duruşu benimsemesini hedefliyor.
Kullanıcılar ve sistem yöneticileri için atılması gereken adımlar net: Adobe ColdFusion kullanıyorsanız en son güvenlik yamasını uygulayın; Joomla sitelerinizde SP Page Builder ve Page Builder CK eklentilerini en son sürümlere güncelleyin; Langflow kullanıyorsanız yetkilendirme kontrollerini gözden geçirin ve en son yamayı yükleyin. Ayrıca, sunucularınızda şüpheli dosya ve aktiviteleri düzenli olarak tarayın. Bu açıkların kamuya duyurulmasından kısa süre sonra aktif olarak sömürülmeye başlandığı göz önüne alındığında, güncellemeleri ertelemek büyük risk oluşturuyor.
Kaynak: securityaffairs.com