ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edilen güvenlik açıklarını izlediği Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na yeni bir zafiyet ekledi. CVE-2026-48907 olarak tanımlanan bu güvenlik açığı, Joomla içerik yönetim sistemi için geliştirilen Widget Factory Content Editor eklentisinde bulunuyor. Söz konusu zafiyet, uygunsuz erişim kontrolü (Improper Access Control) nedeniyle ortaya çıkıyor ve saldırganların sistem üzerinde tam kontrol sahibi olmasına yol açabiliyor.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, Federal Sivil Yürütme Organı (FCEB) kurumlarının güvenlik açıklarını riske göre önceliklendirmesini zorunlu kılıyor. Bu direktif, daha önceki BOD 22-01'in yerini alarak KEV kataloğunun önemini vurguluyor. BOD 26-04'e göre federal kurumlar, kamuya açık varlıklarda bulunan ve istismar edildiğinde tam kontrol sağlayan yüksek riskli güvenlik açıklarını acilen gidermekle yükümlü. Ayrıca, yama uygulanmadan önce sistemlerin tehdit aktörleri tarafından ele geçirilip geçirilmediğinin kontrol edilmesi de gerekiyor.
BOD 26-04 yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları risk temelli güvenlik açığı yönetimi benimsemeye ve KEV kataloğundaki zafiyetleri öncelikli olarak düzeltmeye teşvik ediyor. Ajans, kriterlere uygun yeni güvenlik açıklarını kataloğa eklemeye devam edeceğini belirtiyor. Halihazırda katalogda yer almayan ancak istismar edildiği bilinen bir güvenlik açığı varsa, kuruluşlar KEV Adaylık Formu aracılığıyla CISA'ya başvuruda bulunabiliyor. Başvuruların bir CVE kimliği, istismar kanıtı ve net bir azaltma rehberi içermesi gerekiyor.
Bu gelişme, özellikle Joomla tabanlı web siteleri kullanan kurumlar için kritik önem taşıyor. Widget Factory Content Editor eklentisini kullanan sistem yöneticilerinin, CVE-2026-48907 güvenlik açığına karşı en kısa sürede güncelleme yapmaları öneriliyor. CISA'nın kataloğa eklediği her yeni zafiyet, siber saldırganların aktif olarak bu açıkları hedef aldığını gösteriyor. Bu nedenle, kuruluşların güvenlik açığı yönetimi süreçlerini hızlandırmaları ve özellikle KEV kataloğundaki zafiyetlere öncelik vermeleri büyük önem taşıyor.