Adobe ColdFusion'da Kritik Güvenlik Açığı: Saldırganlar Hemen Harekete Geçti Siber Güvenlik

Adobe ColdFusion'da Kritik Güvenlik Açığı: Saldırganlar Hemen Harekete Geçti

Adobe ColdFusion'da yamalanan kritik bir güvenlik açığı (CVE-2026-48282) saldırganlar tarafından anında kullanılmaya başlandı. CVSS puanı 10/10 olan b...

Adobe, ColdFusion platformunda altı kritik güvenlik açığını gideren güncellemeler yayınladı. Bunlardan en tehlikelisi olan CVE-2026-48282, CVSS puanı 10/10 ile maksimum seviyede risk taşıyor. Path traversal türündeki bu açık, saldırganların keyfi kod çalıştırmasına olanak tanıyor. Adobe, güncellemeyi 30 Haziran'da yayınlasa da, o sırada bu açıkların hedef alındığına dair herhangi bir saldırı tespit edilmediğini belirtti.

Ancak güvenlik araştırmacıları, açığın kamuya duyurulmasından sadece iki saat sonra saldırganların harekete geçtiğini ortaya çıkardı. KEVIntel adlı zafiyet istihbarat platformu, global honeypot ağında bu açığın vahşi ortamda sömürüldüğünü tespit etti. KEVIntel'in kurucusu Ryan Dewhurst, "KEVIntel, global honeypot ağımızda vahşi ortamda sömürü yakaladı" dedi. Kısa süre sonra Kanada Siber Güvenlik Merkezi de açık kaynak raporlarına dayanarak bu zafiyetin saldırılarda kullanıldığı konusunda uyarı yaptı.

Adobe henüz danışma belgesini güncelleyerek bu açığın vahşi ortamda sömürüldüğünü belirtmedi. SecurityWeek, konuyla ilgili açıklama almak için Adobe'a e-posta gönderdi. Tuskira'nın kurucu ortağı ve CEO'su Piyush Sharma, "Adobe hızlı bir şekilde yama yayınladı ancak karar penceresinin ne kadar dramatik bir şekilde daraldığını görüyoruz. Raporlara göre, saldırganlar açığın kamuya duyurulmasından sonraki iki saat içinde sömürmeye başladı. Bu süre, birçok kuruluşun yamaları gerçekçi bir şekilde doğrulaması, önceliklendirmesi, test etmesi ve üretim ortamlarına dağıtması için yeterli değil" yorumunu yaptı.

Sharma ayrıca, "Asıl zorluk, hangi sistemlere erişilebilir olduğunu, hangi zafiyetlerin saldırı yolları oluşturduğunu ve düzeltme devam ederken hangi telafi edici kontrollerin riski azaltabileceğini belirlemektir. Kamuya duyurma ile sömürü arasındaki pencere daralmaya devam ettikçe, kuruluşlar güvenlik kararlarının hızı ve kalitesi konusunda giderek daha fazla rekabet edecek" ifadelerini kullandı.

Paylaş: