ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıkları (KEV) kataloğuna SYSAID BT destek yazılımını etkileyen iki güvenlik kusuru ekledi.
Söz konusu güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-2775 (CVSS Puanı: 9.3) – Kontrol işleme işlevinde XML dış varlık (XXE) referans güvenlik açığının uygunsuz bir kısıtlanması, yönetici hesabı devralma ve dosya okuma ilkelleri için uygunsuz bir kısıtlama
- CVE-2025-2776 (CVSS Puanı: 9.3) – Sunucu URL işleme işlevinde XML Harici Varlığın (XXE) referans güvenlik açığının uygunsuz bir kısıtlanması, yönetici hesabı devralma ve dosya okuma ilkellerini okuma sağlar
Her iki eksiklik de Mayıs ayında WatchTowr Labs araştırmacıları Sina Kheirkhah ve Jake Knott tarafından, /LSHW uç noktasında önceden onaylanmış bir XXE olan CVE-2025-2777 (CVSS skoru: 9.3) ile birlikte açıklandı.
Üç güvenlik açığı, 2025 yılının başında piyasaya sürülen 24.4.60 Build 16 sürümünde SYSAID tarafından ele alındı.
Siber güvenlik firması, güvenlik açıklarının saldırganların web uygulamasına güvenli olmayan XML varlıklarını enjekte etmesine izin verebileceğini, bu da bir sunucu tarafı istek ambalge (SSRF) saldırısına yol açtığını ve bazı durumlarda, CVE-2024-36394, bir komut enjeksiyon kusuru ile zincirlendiğinde, Cyberark tarafından geçen Haziran ayında ortaya çıktığında uzaktan kod yürütülmesini belirtti.
Şu anda CVE-2025-2775 ve CVE-2025-2776’nın gerçek dünya saldırılarında nasıl kullanıldığı bilinmemektedir. Tehdit aktörlerinin kimliği, nihai hedefleri veya bu çabaların ölçeği hakkında herhangi bir bilgi de mevcut değildir.
Aktif tehdide karşı korunmak için, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının 12 Ağustos 2025’e kadar gerekli düzeltmeleri uygulaması gerekmektedir.