Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğunu, yaygın olarak kullanılan kurumsal yazılımları ve geliştirme araçlarını etkileyen dört kritik güvenlik açığıyla genişletti.
Tüm güvenlik açıkları, standart son tarih olan 12 Şubat 2026 ile 22 Ocak 2026’da eklendi ve federal kurumların ve kritik altyapı operatörlerinin yamalar veya hafifletici önlemler uygulamasını gerektirdi.
Eklemeler, tedarik zinciri ihlallerinden altyapı düzenleme platformlarına kadar birçok saldırı vektöründeki aktif istismar modellerini yansıtıyor.
Etkilenen ürünleri kullanan kuruluşlar, yetkisiz erişimi, veri sızıntısını ve ağları içindeki olası yanal hareketleri önlemek için iyileştirmeye öncelik vermelidir.
| Satıcı | Ürün | CVE Kimliği | Güvenlik Açığı Türü | Şiddet |
|---|---|---|---|---|
| Daha güzel | eslint-config-daha güzel | CVE-2025-54313 | Gömülü Kötü Amaçlı Kod (CWE-506) | Kritik |
| Hızlıca | Withey | CVE-2025-31125 | Uygunsuz Erişim Kontrolü (CWE-200, CWE-284) | Kritik |
| Tam tersi | Konçerto SD-WAN | CVE-2025-34026 | Uygunsuz Kimlik Doğrulama (CWE-288) | Kritik |
| Synacor | Zimbra İşbirliği Paketi | CVE-2025-68645 | PHP Uzaktan Dosya Ekleme (CWE-98) | Kritik |
Etkilenen Ürünler ve Güvenlik Açığı Ayrıntıları
Kuruluşların etkilenen yazılım sürümlerini çalıştıran sistemleri derhal denetlemesi gerekir.
Prettier eslint-config-prettier ve Vite Vitejs için geliştiricilerin paket bağımlılıklarını incelemesi, yamalı sürümlere geri dönmesi ve CI/CD günlüklerini şüpheli etkinlik açısından denetlemesi gerekir.
Versa Concerto dağıtımları, özellikle yönetim arayüzlerini açığa çıkaran sistemler için kimlik bilgisi rotasyonu ve ağ bölümleme analizi gerektirir.
Zimbra yöneticileri, savunmasız uç noktalara erişimi kısıtlamak için satıcı tarafından sağlanan güvenlik güncellemelerini uygulamalı ve web uygulaması güvenlik duvarı kurallarını uygulamalıdır.
CISA, bulut hizmetlerini kullanan federal kurumlar için Bağlayıcı Operasyonel Direktif 22-01’e uygunluğu vurgulamaktadır.
Kuruluşlar, beklenmedik süreç yürütme, yetkisiz dosya erişimi ve olağandışı kimlik doğrulama modelleri dahil olmak üzere kötüye kullanım işaretlerini izlerken geliştirme, hazırlama ve üretim ortamlarında yama dağıtımını koordine etmelidir.
Genişletilmiş KEV Kataloğu, geliştirme aracı güvenliğinin ihlali ile altyapı güvenlik açıklarının yakınsamasının altını çiziyor ve tüm yazılım tedarik zinciri boyunca koordineli olay müdahalesi ve proaktif yama yönetimi gerektiriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.