CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Eklenen güvenlik açığı, Adobe ColdFusion yazılımında bulunan bir yol geçiş (path traversal) zafiyeti olan CVE-2026-48282 olarak kaydedildi. Bu tür güvenlik açıkları, siber saldırganlar tarafından sıkça kullanılan saldırı vektörleri arasında yer alıyor ve federal kurumlar için ciddi riskler oluşturuyor.
CISA tarafından yayımlanan Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumları için risk temelli güvenlik açığı yönetimi gerekliliklerini belirliyor. Bu direktif, KEV Kataloğu'nun önemini vurgularken, federal kurumların yüksek riskli güvenlik açıklarını hızlı bir şekilde gidermesini zorunlu kılıyor. Özellikle, istismar sonrasında varlığın tam kontrolünü ele geçirmeye izin veren ve kamuya açık varlıklarda bulunan güvenlik açıklarının öncelikli olarak düzeltilmesi gerekiyor. Düşük riskli açıklar için ise işlem ertelenebiliyor. Ayrıca direktif, yama uygulanmadan önce tehdit aktörlerinin sistemi ele geçirip geçirmediğinin kontrol edilmesi için temel beklentileri de belirliyor.
BOD 26-04 yalnızca FCEB kurumlarını kapsasa da, CISA tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV Kataloğu'ndaki güvenlik açıklarının düzeltilmesine öncelik vermeye teşvik ediyor. CISA, belirtilen kriterleri karşılayan güvenlik açıklarını kataloğa eklemeye devam edecek. Kuruluşların, aktif olarak istismar edilen ancak henüz KEV Kataloğu'nda yer almayan güvenlik açıklarını CISA'ya bildirmeleri için KEV Aday Gösterme Formu kullanılabiliyor. Katalog'a eklenmesi için aday gösterilen güvenlik açıklarının bir CVE kimliğine, istismar kanıtına ve net bir düzeltme kılavuzuna sahip olması gerekiyor.
Adobe ColdFusion kullanıcılarının, CVE-2026-48282 güvenlik açığına karşı en kısa sürede gerekli yamaları uygulamaları ve sistemlerini güncellemeleri kritik önem taşıyor. Kuruluşlar, güvenlik açığı yönetimi süreçlerini gözden geçirerek KEV Kataloğu'ndaki güvenlik açıklarını önceliklendirmeli ve olası siber saldırılara karşı savunmalarını güçlendirmelidir.