Apache Jena’daki kritik güvenlik açıkları, yöneticilerin belirlenmiş sunucu dizinlerinin dışında dosyalara erişmesini ve oluşturmalarını sağlayan ve potansiyel olarak sistem güvenliğini tehlikeye atan açıklanmıştır.
21 Temmuz 2025’te Apache Jena’nın tüm sürümlerini 5.4.0’a etkileyen iki farklı CVE yayınlandı ve yöneticiler bu riskleri azaltmak için hemen 5.5.0 sürümüne yükseltmeye çağırdı.
Kritik güvenlik kusurları tanımlandı
Popüler açık kaynaklı semantik web çerçevesi olan Apache Jena, kötü niyetli yönetici kullanıcılarının dizin kısıtlamalarını atlamasına izin verebilecek iki önemli güvenlik kusuruna karşı savunmasız bulundu.
| CVE kimliği | Şiddet | Tanım | Etkilenen sürümler | Sabit versiyon |
| CVE-2025-49656 | Önemli | Yönetici kullanıcıları, yönetici kullanıcı arayüzü aracılığıyla sunucu dizini dışında dosyalar oluşturabilir | 5.4.0 ile | 5.5.0 |
| CVE-2025-50151 | Önemli | Yapılandırma Dosyası Yolları Yöneticiler tarafından yüklendi Düzgün doğrulanmadı | 5.4.0 ile | 5.5.0 |
Her iki güvenlik açığı, Fuseki sunucusunun dosya işleme mekanizmalarındaki zayıflıklardan yararlanır ve uygulamanın amaçlanan kapsamının ötesinde sistem dosyalarına yetkisiz erişim sağlar.
Belirlenen CVE-2025-49656 olarak adlandırılan ilk güvenlik açığı, yönetici erişimi olan kullanıcıların yönetici kullanıcı arayüzü aracılığıyla fuseki sunucusunun belirlenen dosya alanı dışında veritabanı dosyaları oluşturmalarına olanak tanır.
Bu kusur esasen belirli dizin sınırları içinde veritabanı işlemleri içermesi gereken sanal alan korumasını bozar ve potansiyel olarak saldırganların hassas sistem konumlarına dosya yazmasına izin verir.
İkinci güvenlik açığı olan CVE-2025-50151, yönetim kullanıcıları tarafından yüklenen yapılandırma dosyalarındaki dosya erişim yollarının yanlış doğrulanmasını içerir.
Sistem, bu yapılandırma dosyalarında belirtilen yolları yeterince kontrol edemez ve yöneticilerin yalnızca amaçlanan uygulama dizinleri içinde değil, ana bilgisayar sisteminin herhangi bir yerinde bulunan dosyalara referans vermesini ve potansiyel olarak erişmesini sağlar.
Her iki güvenlik açıkları da güvenlik araştırmacıları tarafından bildirildi ve açıklandı, CVE-2025-49656, Cyber Savunma Enstitüsü, Inc.
Apache Software Foundation’dan Andy Seeborne, açıklama ve yama sürüm sürecini koordine etti.
Bu güvenlik açıkları istismar için idari erişim gerektirse de, çok kullanıcı ortamlarda Apache Jena’yı yöneten veya idari ayrıcalıkların tehlikeye atılabileceği kuruluşlar için ciddi güvenlik endişelerini temsil ederler.
Amaçlanan dizinlerin dışındaki dosyalar oluşturma veya erişme yeteneği, veri açığa çıkmasına, sistem uzlaşmasına veya hizmet saldırılarının reddedilmesine yol açabilir.
Apache Jena kullanan kuruluşların hemen 5.5.0 sürümüne yükseltmeleri tavsiye edilir.
Yeni sürüm, yapılandırma dosyaları için uygun yol doğrulaması uygulayarak ve Fuseki sunucu ortamında belirlenen dizinlerle dosya oluşturma işlemlerini kısıtlayarak her iki güvenlik açıkını da ele alıyor.
Hemen yükseltmenin mümkün olmadığı sistemler için, yöneticiler idari işlevlere erişimi dikkatlice gözden geçirmeli ve kısıtlamalı, Jena kurulumları etrafındaki dosya sistemi etkinliğini izlemeli ve yamalar uygulanana kadar potansiyel sömürü vektörlerini sınırlamak için ek erişim kontrolleri uygulamalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now