Kritik Adobe ColdFusion Açığı Aktif Olarak Kullanılıyor: Acil Güncelleme Çağrısı Dünya Geneli

Kritik Adobe ColdFusion Açığı Aktif Olarak Kullanılıyor: Acil Güncelleme Çağrısı

Adobe, ColdFusion'da maksimum önem derecesine sahip bir açığın aktif olarak istismar edildiğini duyurdu. CVE-2026-48282 kodlu yol atlama açığı, kullan

Adobe, ColdFusion kullanıcılarını en kısa sürede güncelleme yapmaya çağırdı. Şirket, maksimum önem derecesine sahip en az bir güvenlik açığının saldırganlar tarafından aktif olarak istismar edildiğini doğruladı. 30 Haziran'da APSB26-68 bülteniyle yayımlanan yamalar, toplam 11 CVE'yi kapsıyor. Bunlardan altısı CVSS puanı 10 alarak en kritik seviyede değerlendirildi.

Güvenlik araştırmacıları, CVE-2026-48282 kodlu açığın kamuya duyurulmasından saatler sonra hedef alınmaya başlandığını tespit etti. Bu açık, popüler web uygulama geliştirme platformu Adobe ColdFusion'da bir yol atlama (path traversal) zafiyeti olarak tanımlanıyor. Başarılı bir istismar, saldırganın uzaktan keyfi kod çalıştırmasına (Remote Code Execution - RCE) olanak tanıyor.

ShadowServer Foundation verilerine göre, internete açık 775 ColdFusion örneği bulunuyor. CVE-2026-48282 ve APSB26-68'de listelenen diğer açıklar, bu yazının hazırlandığı sırada CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğunda yer almıyordu. Ancak bu durumun kısa sürede değişmesi bekleniyor. Maksimum önem derecesindeki bu açıklar, istismar için kullanıcı etkileşimi gerektirmemesi nedeniyle özellikle tehlikeli.

Adobe, yapay zekanın güvenlik açıklarının istismar süresine etkisinden endişe duyarak Haziran ayında yama yayınlama takvimini değiştirdi. Şirket, aylık bültenlerden iki haftada bir yayımlamaya geçti. Adobe Güvenlik Sorumlusu Aanchal Gupta, 'İki haftalık bültenler, öncü yapay zeka çağına ayak uydurmamızı sağlayacak. Daha fazla güvenlik açığı bulunması, daha fazla düzeltme anlamına geliyor ve ayda bir yayınlama, rakiplerimizin önünde kalmak için artık yeterince hızlı değil' dedi.

Sonuç ve Değerlendirme

Adobe, yeni yama takvimiyle birlikte güvenlik açığı keşif sürecine de yatırım yapıyor. Gupta, 'Yapay zeka keşfi hızlandırıyor, ancak dayanıklılık hâlâ temellere dayanıyor: görünürlük, katmanlı kontroller, sürekli izleme ve bulunan açıkların hızla düzeltilmesi disiplini' ifadelerini kullandı. Adobe, CVE-2026-48282 veya APSB26-68'de yayımlanan diğer açıklar için henüz herhangi bir istismar raporu almadığını belirtti.

Yine de ColdFusion, saldırganlar için popüler bir hedef olmaya devam ediyor. 2023 yılında tehdit aktörleri, bu platformu kripto madenciliği, DDoS ve diğer saldırılarda kullandı. ColdFusion kullanan tüm kuruluşların, özellikle kritik altyapıya sahip olanların, en kısa sürede APSB26-68 yamalarını uygulaması ve sistemlerini güncel tutması hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: