2,3 milyondan fazla indirilmiş popüler bir belge oluşturucu aracı olan Larecipe’de kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-53833 olarak tanımlanan güvenlik açığı, saldırganların sunucu tarafı şablon enjeksiyonu (SSTI) aracılığıyla sunucularda keyfi komutlar yürütmesini sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Bu kritik kusur, 2.8.1 sürümünden önce BinaryTorch/Larecipe Composer paketinin tüm sürümlerini etkiler.
Key Takeaways
1. Critical SSTI vulnerability (CVE-2025-53833) in LaRecipe tool (2.3M+ downloads) enables Remote Code Execution.
2. Attackers can execute commands and access sensitive data without authentication.
3. All versions <2.8.1 affected - maximum CVSS severity rating with network-based exploitation.
4. Immediate upgrade to v2.8.1 is required to patch the critical security flaw.
SSTI uzaktan kumanda yürütme kusuru
Github, güvenlik açığının Larecipe’nin şablon işleme sistemindeki uygunsuz giriş validasyonundan kaynaklandığını ve saldırganların sunucu tarafı şablonlarına kötü amaçlı kod enjekte etmesine izin verdiğini bildiriyor.
Sunucu tarafı şablonu enjeksiyonu, kullanıcı girişi uygun sanitasyon olmadan şablon motorlarına gömüldüğünde, saldırganların hedef sunucuda keyfi kod yürütmesini sağladığında oluşur.
Bu özel güvenlik açığı, gizlilik, dürüstlük ve kullanılabilirlik metrikleri üzerindeki maksimum etkiyi yansıtan bir CVSS V3.1 taban puanı ile kritik bir şiddet derecesi verilmiştir.
Saldırı vektörü, düşük karmaşıklığa sahip ağ tabanlı olarak sınıflandırılır, hiçbir ayrıcalık ve kullanıcı etkileşimi gerektirmez.
Güvenlik açığının kapsamı değişmiş olarak işaretlenmiştir, bu da başarılı sömürünün kaynakları savunmasız bileşenin kendisinin ötesinde etkileyebileceğini gösterir.
Güvenlik araştırmacıları, kusurun saldırganların hassas çevre değişkenlerine erişmesine, sistem komutlarını yürütmesine ve sunucu yapılandırmasına bağlı olarak erişimlerini potansiyel olarak artırmasına izin verdiğini doğruladı.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | BinaryTorch/Larecipe (Besteci Paketi) Tüm sürümler <2.8.1 |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | – Savunmasız Larecipe Kurulumuna Ağ Erişim- Kimlik Doğrulama Gerektirmez- Kullanıcı Etkileşimi Yok- Düşük Saldırı Karmaşıklığı |
| CVSS 3.1 puanı | 10.0 (kritik) |
Hafifletme
Kullanıcılara, SSTI güvenlik açığını ele alan yamalar içeren Larecipe sürüm 2.8.1’e yükseltmeleri şiddetle tavsiye edilir.
Geliştirme ekibi, 2.8.1’in altındaki tüm sürümlerin bu kritik güvenlik kusuruna karşı savunmasız kaldığını doğruladı.
Kuruluşlar, güvenlik açığının kritik doğası ve sömürü kolaylığı nedeniyle bu güncellemeye acil durum güvenlik yaması olarak öncelik vermelidir.
Sistem yöneticileri, maruz kalmayı en aza indirmek için giriş doğrulaması, şablon motor güvenlik konfigürasyonları ve ağ segmentasyonu dahil ek güvenlik önlemleri uygulamalıdır.
Güvenlik ekipleri ayrıca uzlaşma göstergelerini izlemeli ve daha önce savunmasız Larecipe sürümlerini çalıştıran sistemlerin kapsamlı güvenlik değerlendirmelerini yapmalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi