Saldırganların etkilenen sunucuları tamamen tehlikeye atmasına izin verebilecek 2.3 milyondan fazla indirme ile popüler bir Laravel belge paketi olan Larecipe’de kritik bir güvenlik açığı keşfedildi.
CVE-2025-53833 olarak tanımlanan güvenlik açığı, savunmasız sistemlerde uzaktan kod yürütülmesine (RCE) yol açabilecek sunucu tarafı şablon enjeksiyonu (SSTI) saldırılarını sağlar.
Kritik güvenlik açığı keşfedildi
Güvenlik araştırmacısı Saleem Hadad, GitHub Güvenlik Danışma GHSA-JV7X-XHV2-P5V2 yoluyla güvenlik açığını yaklaşık 15 saat önce açıkladı ve Binaritor/Larecipe Bester paketinde ciddi bir kusur ortaya koydu.
Güvenlik açığı, 2,8.1’den önceki tüm sürümleri etkiler ve projeleri için bu dokümantasyon aracına dayanan milyonlarca Laravel uygulamasını potansiyel olarak ortaya çıkarır.
| Bağlanmak | Değer |
| CVE kimliği | CVE-2025-53833 |
| Şiddet | Kritik (10.0/10.0) |
| Saldırı vektörü | Ağ |
| Kullanılabilirlik Etkisi | Yüksek |
| Etkilenen sürümler | <2.8.1 |
| Yamalı versiyon | 2.8.1 |
Sunucu tarafı şablonu enjeksiyon güvenlik açığı, kötü amaçlı aktörlerin Larecipe uygulamasını barındıran sunucuda keyfi kod enjekte etmesini ve yürütmesini sağlar.
Bu tür bir saldırı, kullanıcı girişi uygun bir sanitizasyon olmadan şablonlara gömüldüğünde, saldırganların şablon bağlamından çıkmasını ve sistem komutlarını yürütmesini sağladığında gerçekleşir.
Güvenlik açığı, mümkün olan en yüksek şiddet seviyesini gösteren maksimum CVSS V3 skoru 10.0 taşır.
Güvenlik danışmanlığına göre, başarılı sömürü, saldırganların sunucuda keyfi komutlar yürütmelerini, hassas ortam değişkenlerine erişmesini ve sunucunun yapılandırmasına bağlı olarak ayrıcalıklarını potansiyel olarak artırmasını sağlayabilir.
Saldırı vektörü, özellikle kimlik doğrulama, yürütme karmaşıklığı ve kullanıcı etkileşimi gerektirmediği için özellikle ilgilidir.
Güvenlik açığı, bir ağ bağlantısı üzerinden uzaktan sömürülebilir ve bu da onu dünya çapında saldırganlar için erişilebilir hale getirir.
Kapsam, “değişti” olarak sınıflandırılır, yani savunmasız bileşen kaynakları güvenlik kapsamının ötesinde etkiler.
Larecipe kullanıcılarının hemen 2.8.1 sürümüne veya daha sonraki sürümlerine yükseltmeleri şiddetle tavsiye edilir. Yama, şablon enjeksiyon güvenlik açığını ele alır ve kötü amaçlı kod yürütülmesini önler.
Kuruluşlar, aracın yaygın olarak benimsenmesi ve güvenlik açığının kritik doğası göz önüne alındığında bu güncellemeye öncelik vermelidir.
Bu güvenlik açığının keşfi, düzenli güvenlik güncellemelerinin önemini ve yazılım geliştirme ortamlarında üçüncü taraf paketlerin sürekli izlenmesi ihtiyacını vurgulamaktadır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.