Adobe, ColdFusion ve Campaign Classic'teki 7 CVSS 10.0 Kusurlarını Yayımlıyor Yazılım

Adobe, ColdFusion ve Campaign Classic'teki 7 CVSS 10.0 Kusurlarını Yayımlıyor

Adobe, Adobe ColdFusion ve Adobe Campaign Classic'i etkileyen çok sayıda maksimum önem derecesine sahip güvenlik kusurları için yamalar yayımladı....

Adobe, Adobe ColdFusion ve Adobe Campaign Classic'i etkileyen çok sayıda maksimum önem derecesine sahip güvenlik kusurları için yamalar yayımladı.

Adobe Salı günü yayınlanan bir uyarıda, ColdFusion güncellemelerinin "rastgele kod yürütülmesine, ayrıcalık yükselmesine, rastgele dosya sistemi okunmasına ve güvenlik özelliklerinin atlanmasına yol açabilecek kritik ve önemli güvenlik açıklarını çözdüğünü" söyledi.

Güvenlik açıkları aşağıda listelenmiştir:

CVE-2026-48276, CVE-2026-48283 (CVSS puanları: 10,0) - Rastgele kod yürütülmesine yol açabilecek tehlikeli türdeki güvenlik açıklarına sahip dosyanın sınırsız yüklenmesi

(CVSS puanları: 10,0) - Rasgele kod yürütülmesine yol açabilecek tehlikeli türdeki güvenlik açıklarına sahip dosyanın sınırsız yüklenmesi CVE-2026-48277, CVE-2026-48281, CVE-2026-48316 (CVSS puanları: 10,0) - Keyfi kod yürütülmesine yol açabilecek uygunsuz giriş doğrulama güvenlik açıkları

Nasıl Önlem Alınmalı?

(CVSS puanları: 10,0) - Rastgele kod yürütülmesine yol açabilecek uygunsuz giriş doğrulama güvenlik açıkları CVE-2026-48282 (CVSS puanı: 10,0) - Rastgele kod yürütülmesine yol açabilecek bir yol geçiş güvenlik açığı

(CVSS puanı: 10,0) - Rasgele kod yürütülmesine yol açabilecek bir yol geçiş güvenlik açığı CVE-2026-48313 (CVSS puanı: 9,3) - Rastgele dosya sistemi okumasına yol açabilecek bir yol geçiş güvenlik açığı

Sistem Güvenliği

(CVSS puanı: 9,3) - Rastgele dosya sisteminin CVE-2026-48315 okumasına yol açabilecek bir yol geçiş güvenlik açığı (CVS puanı: 9,3) - Ayrıcalık artışına yol açabilecek uygunsuz bir giriş doğrulama güvenlik açığı

Sorunlar ColdFusion 2023 Güncelleme 21 ve ColdFusion 2025 Güncelleme 10'da giderilmiştir. Güvenlik araştırmacıları Anirudh Anand, Matan Sandori ve 2Bsecure, CVE-2026-48283, CVE-2026-48313 ve CVE-2026-48307'yi keşfetme ve raporlama konusunda itibar kazanmıştır.

Teknik Analiz

Ayrı olarak Adobe, Adobe Campaign Classic'te Windows ve Linux için ACC v7: 7.4.3 build 9396 ve önceki sürümlerini etkileyen ve rastgele kod yürütülmesine neden olabilecek kritik bir kusuru kapatmak için düzeltmeler de gönderdi.

CVE-2026-48286 (CVSS puanı: 10,0) olarak takip edilen güvenlik açığı, bir saldırganın etkilenen sistemlerde rastgele kod yürütmesine olanak verebilecek bir yanlış yetkilendirme durumudur. ACC v7: 7.4.3 build 9397 sürümünde yama uygulandı.

Uzmanların Görüşleri

Adobe, CVE-2026-48286'nın tamamen şirket içi dağıtımlar ve hibrit dağıtımlardaki şirket içi bileşenler de dahil olmak üzere yalnızca şirket içi Adobe Campaign örneklerini etkilediğini belirtti. Adobe tarafından barındırılan örnekler zaten güncellenmiştir ve herhangi bir işlem yapılmasını gerektirmez.

Şirket ayrıca, iki güncellemenin bir parçası olarak ele alınan sorunlardan herhangi biri için doğada herhangi bir açık bulamadığını da vurguladı.

Gelecekte Ne Bekleniyor?

Açıklama, Adobe'nin, yapay zeka (AI) modelleri kullanılarak hızlandırılmış güvenlik açığı keşfinin doğrudan bir sonucu olarak, 14 Temmuz 2026'dan itibaren her ayın ikinci ve dördüncü Salı günü güvenlik bültenleri ve tavsiyelerini aylıktan iki ayda bir yayınlamaya geçeceğini açıklamasının ardından geldi.

Adobe'nin Baş Güvenlik Sorumlusu Aanchal Gupta, "Kullandığımız sınır yapay zeka yetenekleri saldırganların da kullanımına açık ve güvenlik açıklarının kamuya açıklanması ile aktif istismar arasındaki pencere günlerce saatlere sıkışıyor." dedi. "Öncelikle güvenlik açıklarını bulup düzeltmek için yapay zekayı uyguluyoruz ve bu düzeltmeleri müşterilere daha hızlı ulaştırmak bir sonraki doğal adımdır."

Detaylar ve Etkileri

Bir takip analizinde watchTowr Labs, CVE-2026-48282'yi rastgele dosya yazma durumu ve CVE-2026-48313'ü rastgele dosya okuma örneği olarak tanımladı; aynı düzeltmeler aynı zamanda rastgele dosya taşıma, dosya silme, dizin oluşturma ve dizin listelemeyi içeren bir dizi sorunu "sessizce ortadan kaldırıyor".

Önemli Gelişmeler

Bir dosya yükleme yolu geçiş hatası olan CVE-2026-48276 yaması, jspf, cfmail ve war gibi yeni izin verilmeyen birkaç dosya uzantısını tanıtıyor. Güvenlik araştırmacısı Sina Kheirkhah, "Ayrıca dosya yüklemeleri sırasında yol geçişini önlemek için yeni bir bloğu ekliyor" dedi.

Hem güvenlik açığı bulunan hem de yamalı sürümlerin, dosya yüklemelerini varsayılan olarak devre dışı bırakan bir yapılandırma içerdiğini belirtmekte fayda var; bu, güvenlik açığı bulunan işlevselliğin öncelikle açıkça etkinleştirilmesi gerektiği anlamına geliyor.

"Ancak, etkinleştirildiğinde yükleme uç noktasına kimlik doğrulaması olmadan ulaşılabilir görünüyor. Bu durumda güvenlik açığını tetiklemek, yol parametresinde yol geçiş yükünü içeren bir dosya yükleme isteği göndermek kadar basittir. Yüklenen dosya diske NT AUTHORITY\SYSTEM olarak yazılır, bu da etkiyi oldukça açık bir şekilde ortaya koyar."

Sonuç ve Değerlendirme

CVE-2026-48282 Suistimal Altına Alınıyor

CV olarak izlenen Adobe ColdFusion yol geçiş güvenlik açığı E-2026-48282, Hindistan'a coğrafi olarak konumlandırılan bir IP adresinden ("103.207.14[.]220") kaydedilen tek bir yararlanma girişimiyle saatlerce kamuya açıklanarak aktif olarak istismar edilmeye başlandı.

KEVIntel'in kurucusu ve güvenlik araştırmacısı Ryan Dewhurst, Hacker News'e "Saldırgan '2:000018:C:\Windows\win.ini00004:READ' yüküyle 'C:\Windows\win.ini' dosyasını okumaya çalıştı" dedi.

(Hikaye, 3 Temmuz 2026'da yayınlandıktan sonra en son gelişmeleri yansıtacak şekilde güncellendi.)

Paylaş: