ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen yeni bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. CVE-2026-48907 olarak tanımlanan bu açık, Joomla içerik yönetim sisteminde kullanılan Widget Factory eklentisinde bulunuyor ve uygunsuz erişim kontrolü nedeniyle saldırganların sistem üzerinde tam kontrol sahibi olmasına olanak tanıyor.
Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörü oluşturuyor ve federal kurumlar için ciddi riskler barındırıyor. CISA, bu açığın özellikle kamuya açık varlıklarda istismar edilmesi durumunda, saldırganın sistemi tamamen ele geçirebileceğini vurguluyor. Bu nedenle, ilgili yazılımı kullanan tüm kurumların acilen güncelleme yapması gerekiyor.
CISA'nın yayımladığı Bağlayıcı Operasyonel Direktif (BOD) 26-04, federal kurumların yüksek riskli güvenlik açıklarını öncelikli olarak gidermesini zorunlu kılıyor. Bu direktif, BOD 22-01'in yerini alarak KEV kataloğundaki açıkların hızla düzeltilmesini ve düşük riskli açıkların ise ertelenebilmesini sağlıyor. Ayrıca, yama uygulanmadan önce sistemlerin tehlikeye girip girmediğinin kontrol edilmesi için temel beklentileri belirliyor.
BOD 26-04 yalnızca federal kurumlar için bağlayıcı olsa da, CISA tüm kuruluşları risk temelli güvenlik açığı yönetimini benimsemeye ve KEV kataloğundaki açıkları önceliklendirmeye çağırıyor. Halihazırda istismar edilmiş ancak katalogda yer almayan bir güvenlik açığı tespit edenler, KEV aday formu aracılığıyla CISA'ya bildirimde bulunabilir. Başvuruların geçerli olması için CVE kimliği, istismar kanıtı ve net bir düzeltme rehberi gerekiyor.