Adobe, ColdFusion ve Campaign Classic'teki 7 Kritik Güvenlik Açığını Yamaladı Siber Güvenlik

Adobe, ColdFusion ve Campaign Classic'teki 7 Kritik Güvenlik Açığını Yamaladı

Adobe, ColdFusion ve Campaign Classic ürünlerinde CVSS 10.0 puanlı 7 kritik güvenlik açığını gideren güncellemeler yayınladı. Açıklardan biri aktif ol...

Adobe, ColdFusion ve Campaign Classic ürünlerini etkileyen çok sayıda kritik güvenlik açığı için yamalar yayınladı. Salı günü yapılan duyuruya göre, ColdFusion güncellemeleri, keyfi kod çalıştırma, ayrıcalık yükseltme, keyfi dosya okuma ve güvenlik özelliklerini atlatma gibi riskler taşıyan zafiyetleri gideriyor. Bu açıklar arasında, tehlikeli türde dosya yüklemeye izin veren (CVE-2026-48276, CVE-2026-48283), hatalı girdi doğrulaması içeren (CVE-2026-48277, CVE-2026-48281, CVE-2026-48316) ve yol geçişi (path traversal) zafiyetleri (CVE-2026-48282, CVE-2026-48313) bulunuyor. Ayrıca CVE-2026-48315 ile ayrıcalık yükseltme mümkün hale geliyor.

Adobe, güvenlik açıklarını ColdFusion 2023 Güncelleme 21 ve ColdFusion 2025 Güncelleme 10 ile kapattı. Araştırmacılar Anirudh Anand, Matan Sandori ve 2Bsecure, CVE-2026-48283, CVE-2026-48313 ve CVE-2026-48307'yi bildirerek katkıda bulundu. Ayrıca Adobe Campaign Classic'in Windows ve Linux için ACC v7: 7.4.3 build 9396 ve önceki sürümlerinde kritik bir hata (CVE-2026-48286, CVSS 10.0) düzeltildi. Bu hata, yanlış yetkilendirme nedeniyle keyfi kod çalıştırmaya yol açabiliyordu ve ACC v7: 7.4.3 build 9397 sürümünde giderildi. Adobe, bu açığın yalnızca şirket içi (on-premise) dağıtımları etkilediğini, bulut tabanlı örneklerin zaten güncellendiğini belirtti.

Adobe, güncellemelerle ilgili herhangi bir aktif istismar tespit etmediğini ancak güvenlik bültenlerini ayda iki kez yayınlamaya başlayacağını duyurdu. Bu değişiklik, yapay zeka modelleriyle güvenlik açıklarının daha hızlı keşfedilmesine dayanıyor. Adobe Güvenlik Sorumlusu Aanchal Gupta, 'Kullandığımız ileri düzey yapay zeka yetenekleri saldırganlar tarafından da kullanılabiliyor ve açıkların ifşası ile aktif istismar arasındaki süre günlerden saatlere düştü. Biz de yapay zekayı önce açıkları bulup düzeltmek için kullanıyoruz ve yamaları müşterilere daha hızlı ulaştırmak doğal bir sonraki adım.' dedi.

Nasıl Önlem Alınmalı?

Güncelleme sonrası analizlerde, watchTowr Labs, CVE-2026-48282'nin keyfi dosya yazma, CVE-2026-48313'ün ise keyfi dosya okuma zafiyeti olduğunu ve yamaların ayrıca dosya taşıma, silme, dizin oluşturma gibi sorunları da sessizce giderdiğini ortaya koydu. Araştırmacı Sina Kheirkhah, CVE-2026-48276 için getirilen yeni kısıtlamaları (jspf, cfmail, war gibi uzantıların engellenmesi) açıkladı. Ancak, hem güvenlik açığı bulunan hem de yamalı sürümlerde dosya yükleme varsayılan olarak devre dışı olduğundan, zafiyetin tetiklenmesi için öncelikle bu özelliğin etkinleştirilmesi gerekiyor. Ne yazık ki, etkinleştirildiğinde yükleme noktasına kimlik doğrulaması olmadan erişilebiliyor ve basit bir yol geçişi saldırısıyla dosyalar sistem seviyesinde yazılabiliyor. Ayrıca CVE-2026-48282'nin kamuya açıklanmasından saatler sonra Hindistan kaynaklı bir IP tarafından aktif olarak istismar edilmeye başlandığı tespit edildi.

Paylaş: