Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi (CERT/CC), Workhorse Software Hizmetleri’nin belediye muhasebe yazılımındaki hassas hükümet finansal verilerine ve kişisel olarak tanımlanabilir bilgilere yetkisiz erişim sağlayabilecek ciddi güvenlik açıkları hakkında kritik bir güvenlik danışmanlığı uyarısı yayınlamıştır.
CVE-2025-9037 ve CVE-2025-9040 olarak izlenen güvenlik açıkları, 1.9.4.48019 sürümünden önce Workhorse Belediye Muhasebe Yazılımının tüm sürümlerini etkiler.
Bu kusurlar, platformu kullanan belediyeler için önemli riskler ortaya çıkarır, potansiyel olarak sosyal güvenlik numaralarını, tam finansal kayıtları ve diğer gizli belediye verilerini yetkisiz erişime maruz bırakır.
Kritik Tasarım Kusurları Veri Hırsızlığı
Güvenlik sorunları, yazılım mimarisindeki iki temel tasarım probleminden kaynaklanmaktadır. İlk güvenlik açığı olan CVE-2025-9037, SQL Server bağlantı dizelerinin, uygulanabilir uygulanabilir uygulamanın yanında bulunan düz metin yapılandırma dosyalarında depolanmasını içerir.
Bu dizinlerin SQL veritabanını çalıştıran aynı sunucu tarafından barındırılan paylaşılan ağ klasörlerinde bulunduğu tipik dağıtımlarda, dizine okuma erişimi olan herhangi bir kişi, SQL kimlik doğrulaması yapılandırılırsa veritabanı kimlik bilgilerini potansiyel olarak kurtarabilir.
İkinci kritik kusur olan CVE-2025-9040, kimlik doğrulanmamış kullanıcıların uygulamanın “dosya” menüsü aracılığıyla doğrudan giriş ekranından tam veritabanı yedeklemeleri oluşturmalarına izin verir.
Bu yedekleme işlevi, MS SQL Server Express yedekleme işlemlerini yürütür ve ortaya çıkan veritabanı dosyasını şifrelenmemiş bir ZIP arşivinde kaydeder, bu da daha sonra şifre kimlik doğrulaması gerekmeden herhangi bir SQL Server örneğine geri yüklenebilir.
| CVE kimliği | Güvenlik Açığı Türü | CVSS Puanı | Darbe |
| CVE-2025-9037 | Bilgi Açıklama | Müsait değil | Düz metin depolama yoluyla veritabanı kimlik bilgisi pozlama |
| CVE-2025-9040 | Kimlik Doğrulama Bypass | Müsait değil | Kimliği doğrulanmamış veritabanı yedekleme ve pessfiltration |
Bu güvenlik açıklarının sonuçları basit veri maruziyetinin çok ötesine uzanmaktadır. Bu kusurlardan yararlanan saldırganlar, hassas kişisel olarak tanımlanabilir bilgiler, kapsamlı finansal kayıtlar ve diğer gizli hükümet verileri içeren tam belediye veritabanlarına potansiyel olarak erişebilir.
Veri hırsızlığı endişelerinin ötesinde, veritabanı yedeklemelerinin bulundurulması, kötü niyetli aktörlerin finansal kayıtlara müdahale etmelerini, denetim izlerini tehlikeye atmasını ve belediye finansal operasyonlarının bütünlüğünü zayıflatmasını sağlayabilir.
CERT/CC, 1.9.4.48019 sürümüne anında güncellenmesini şiddetle tavsiye eder.
Anında yamaları uygulayamayan kuruluşlar, NTFS izinleri aracılığıyla uygulama dizinlerine erişimi kısıtlamak, Windows kimlik doğrulamasıyla SQL sunucusu şifrelemesini sağlamak, satıcı veya yapılandırma düzeyinde yedekleme işlevselliğini devre dışı bırakma ve veritabanı erişimini sınırlamak için ateş duvar kurallarıyla ağ segmentasyonunu uygulamak da dahil olmak üzere çeşitli azaltma stratejilerini dikkate almalıdır.
Güvenlik açıkları, SPARROW BT çözümlerinden James Harrold tarafından bir güvenlik denetimi ve sunucu kurulumu sırasında keşfedildi.
CERT/CC’nin Timur Snoke tarafından belgelenen danışmanlık, 19 Ağustos 2025’te, ülke çapında belediye hükümet sistemlerini etkileyen bu güvenlik kusurlarının kritik doğasını vurgulayarak güvenlik açığı notu VU#706118 olarak yayınlandı.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!