"Haftalık Güvenlik Zafiyeti Gündemi" adlı serimizin ikincisiyle karşınızdayız. İkinci serimiz, 19-25 Ocak arasını kapsamaktadır ve hafta içerisindeki önemli ve öne çıkan gelişmeleri aktarmış olacağız.
Google Chrome: Google, Chrome web tarayıcısı için üç güvenlik açığını kapsayan yeni bir güvenlik güncelleştirmesi yayınladı. Bunlar arasında CVE-2025-0611 ve CVE-2025-0612 olarak izlenen güvenlik açıkları, yüksek önem derecesine sahip olarak geçiyor. Şirket, kullanıcıların en kısa sürede bu güvenlik güncelleştirmesini yüklemesini önerdi.
SonicWall: Şirket, SMA1000'ün Cihaz Yönetim Konsolu (AMC) ve Merkezi Yönetim Konsolu'nda (CMC) uzaktan kod yürütmeye imkan veren ve etkin bir şekilde istismar edilen sıfırıncı gün açığı (0-Day) için bir güvenlik güncelleştirmesi yayınladı. CVE-2025-23006 olarak izlenen sıfırıncı gün açığının önem derecesi 10 üzerinden 9.8 olarak geçiyor.
Cisco: Şirket tarafından kritik, yüksek ve orta dereceli olmak üzere üç tane güvenlik güncelleştirilmesi yayınlandı. Bunlar arasında CVE-2025-20156 olarak izlenen kritik güvenlik açığı, Cisco Meeting Management REST API'sindeki düşük ayrıcalıklara sahip ve kimliği doğrulanmış bir tehdit aktörünün, etkilenen bir cihazdaki ayrıcalıklarını yükseltmesine olanak sağlıyor.
Oracle: Şirket tarafından üç ayda bir yayınlanan kritik yama güncellemesinin bu yıla ait ilk danışma bülteni yayınlandı. Yayınlanan danışma bültenine göre, şirkete ait pek çok ürünle ilgili toplamda 318 yeni güvenlik yaması yayınlandı.
QNAP: Şirket, Hybrid Backup Sync (HBS) yazılımını etkileyen yarım düzine güvenlik açığını giderdiğini açıkladı. Güvenlik açıklarının sistemler arasında dosya aktarımı ve senkronizasyonu için kullanılan açık kaynaklı bir dosya senkronizasyon aracı olan rsync'de keşfedildiğini belirtti.
MongoDB: Popüler veri tabanı uygulamalarından biri olan MongoDB'nin nesne modelleme aracı olan Mongoose'u etkileyen kritik bir kod enjeksiyonu güvenlik açığı keşfedildi. CVE-2025-23061 olarak izlenen güvenlik açığının önem derecesi 10 üzerinden 9 olarak geçiyor ve Mongoose'un 8.9.5 öncesi sürümlerini etkiliyor.
WP RealHome Tema: Emlak web sitelerinde kullanılan ve yaklaşık 32 bin tane satılan Wordpress RealHome teması ve bu temayla ilişkili Easy Real Estate eklentisinde güvenlik açığı keşfedildi. Patchstack araştırmacıları tarafından bulunan güvenlik açığı, kimliği doğrulanmamış tehdit aktörlerinin ayrıcalık yükseltmelerine olanak sağlıyor.
GitLab: Şirket, bir yüksek ve 2 orta dereceli olmak üzere 3 güvenlik açığı ile ilgili güvenlik güncelleştirmesi yayınladı. Bunlar arasında CVE-2025-0314 olarak izlenen ve yüksek önem derecesine sahip bu güvenlik açığı, tehdit aktörlerinin belirli dosya türlerinin uygunsuz şekilde işlenmesi yoluyla GitLab örneklerine kötü amaçlı komut dosyaları enjekte etmesine olanak tanıyor.
CISA - FBI: Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Ivanti Bulut Hizmet Cihazlarındaki (CSA) birden fazla güvenlik açığının etkin bir şekilde istismar edilmesini ele almak için ortak bir Siber Güvenlik Danışma Bülteni yayınladı. Tehdit aktörleri ilk erişimi elde etmek, uzaktan kod yürütme (RCE) gerçekleştirmek, kimlik bilgileri elde etmek ve kurban ağlarına web kabukları yerleştirmek için listelenen güvenlik açığı zincirinden faydalanmış.
Jenkins: Jenkins, 8 eklenti ile ilgili güvenlik güncelleştirmesi yayınladı. Bunların 5 tanesi orta, 2 tanesi yüksek ve bir taneside düşük derecelendirmeye sahip.
Node.js: Node.js projesi, tehdit aktörlerinin çalışan izinlerini aşmasına olanak tanıyabilecek yüksek öneme sahip bir kusur da dahil olmak üzere çeşitli güvenlik açıklarını gidermek için güncellemeler yayınladı. Bu kapsamda yeni güncellenmiş sürümler yayınlandı.
7-zip: Trend Micro ZDI araştırmacıları popüler dosya arşivleme aracı 7-zip'de yeni bir güvenlik açığı keşfetti. CVE-2025-0411 olarak izlenen güvenlik açığı ile tehdit aktörleri, bu güvenlik açığından faydalanarak Windows'taki "Mark-of-the-Web" güvenlik özelliğini atlamaya olanak sağlıyor.
IBM: Şirket, iş ağları arasında güvenli veri aktarım aracı olan Sterling Secure Proxy'i(SSP) etkileyen birden fazla kritik güvenlik açığına yönelik güvenlik bülteni yayınladı.
POC: Bazı güvenlik açıklıklarının nasıl istismar edildiğine ilişkin PoC (kavram kanıtı olarak) yayınlandı. Yayınlanan PoC'lara baktığımız zaman:
-- BishopFox araştırmacıları, SonicWall güvenlik duvarlarının SSL VPN bileşenini etkileyen bir kimlik doğrulama atlatması olan CVE-2024-53704'ün istismarıyla iligli teknik analiz yayınladı. İlgili PoC gösterilirken, kodları yayınlanmadı.
-- IBM X-Force araştırmacısı Joshua Magri , Windows Antimalware Scan Interface'in (AMSI) yeni bir atlama yöntemini içeren teknik bir analiz ve PoC yayınladı.
-- Sırp güvenlik araştırmacısı Miloš, Outlook'un gelen kutusuna gönderilen kötü amaçlı e-postalar aracılığıyla istismar edilebilen Windows OLE'deki uzaktan kod yürütmeye olanak veren CVE-2025-21298 için bir PoC yayınladı.
-- Github, Maven Proxy depolarına yönelik gerçekleştirilebilecek saldırılarla ilgili bir teknik analiz ve PoC yayınladı.
-- Joward adlı bir güvenlik araştırmacısı, TP-Link TL-WR940N yönlendiricilerini etkileyen CVE-2024-54887 olarak izlenen kritik bir güvenlik açığına yönelik teknik analiz ve PoC yayınladı.
-- MrAle_98 adlı güvenlik araştırmacısı, sıfırıncı gün açığı olan ve CVE-2024-49138 olarak izlenen güvenlik açığına ilişkin PoC yayınladı.