Adobe ColdFusion Kritik Güvenlik Açığı Saldırı Altında: CVE-2026-48282 Yazılım

Adobe ColdFusion Kritik Güvenlik Açığı Saldırı Altında: CVE-2026-48282

Adobe ColdFusion'da kritik bir güvenlik açığı (CVE-2026-48282) yayınlandıktan sadece iki saat sonra saldırganlar tarafından istismar edilmeye başlandı

Tehdit aktörleri, Adobe ColdFusion'da kısa süre önce yamalanan ve maksimum ciddiyet derecesine sahip bir güvenlik açığını aktif olarak istismar ediyor. CVE-2026-48282 olarak izlenen ve 10/10 CVSS puanına sahip bu güvenlik açığı, yol geçişi (path traversal) hatası olarak tanımlanıyor ve rastgele kod yürütülmesine yol açabiliyor. Adobe, bu açığı 30 Haziran'da, platformundaki diğer beş maksimum ciddiyetli kusurla birlikte yamaladı.

Adobe, ColdFusion 2025 güncelleme 10 ve ColdFusion 2023 güncelleme 21'i yayınlayarak bu kusurları giderdi ve başlangıçta bu açıkların hedef alındığı herhangi bir saldırı tespit edilmediğini belirtti. Ancak teknoloji devi, güvenlik güncellemesine 1 öncelik derecesi atayarak, saldırganların bu kusurları hedef almaya başlama riskinin yüksek olması nedeniyle kullanıcıları yamaları mümkün olan en kısa sürede uygulamaya çağırdı.

Güvenlik açığı istihbarat platformu KEVIntel'e göre, bilgisayar korsanları CVE-2026-48282'yi kamuya açıklandıktan sonraki iki saat içinde istismar etmeye başladı. KEVIntel kurucusu Ryan Dewhurst, "KEVIntel, küresel honeypot ağımızda vahşi ortamda istismar tespit etti" dedi. Kısa bir süre sonra, Kanada Siber Güvenlik Merkezi de açık kaynak raporlamasına dayanarak CVE'nin saldırılarda istismar edildiği konusunda uyardı.

Adobe henüz danışma belgesini güncelleyerek güvenlik açığının vahşi ortamda istismar edildiğinden bahsetmedi. Tuskira'nın kurucu ortağı ve CEO'su Piyush Sharma, "Adobe yamayı hızla yayınlamak için harekete geçti, ancak karar penceresinin ne kadar dramatik bir şekilde daraldığını görüyoruz. Raporlara göre, saldırganlar güvenlik açığını kamuya açıklandıktan sonraki iki saat içinde istismar etmeye başladı; bu, birçok kuruluşun yamaları üretim ortamlarında gerçekçi bir şekilde doğrulaması, önceliklendirmesi, test etmesi ve dağıtmasından çok önceydi" yorumunu yaptı.

Paylaş: