ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğuna beş güvenlik açığı ekledi ve Oracle E-Business Suite’i (EBS) etkileyen yakın zamanda açıklanan bir güvenlik açığının gerçek dünyadaki saldırılarda silah haline getirildiğini resmen doğruladı.
Söz konusu güvenlik açığı CVE-2025-61884’tür (CVSS puanı: 7,5). Oracle Yapılandırıcının Çalışma Zamanı bileşeninde, saldırganların kritik verilere yetkisiz erişimine izin verebilecek sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olarak tanımlanan CVE-2025-61884’tür (CVSS puanı: 7,5).
CISA, “Bu güvenlik açığı kimlik doğrulaması olmadan uzaktan kullanılabilir” dedi.
CVE-2025-61884, Oracle EBS’de CVE-2025-61882 (CVSS puanı: 9,8) ile birlikte aktif olarak yararlanılan ikinci kusurdur; kimliği doğrulanmamış saldırganların duyarlı örnekler üzerinde rastgele kod yürütmesine izin verebilecek kritik bir hatadır.
Bu ayın başlarında Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant, CVE-2025-61882’nin kötüye kullanılmasının ardından düzinelerce kuruluşun etkilenmiş olabileceğini ortaya çıkardı.
GTIG’nin kıdemli güvenlik mühendisi Zander Work geçen hafta The Hacker News’e şunları söyledi: “Şu anda herhangi bir spesifik istismar faaliyetini belirli bir aktöre atfetemiyoruz, ancak gözlemlediğimiz istismar faaliyetlerinin en azından bir kısmının şu anda Cl0p markalı gasp operasyonları yürüten aktörler tarafından gerçekleştirilmiş olması muhtemeldir.”
CISA tarafından KEV kataloğuna ayrıca dört güvenlik açığı daha eklendi:
- CVE-2025-33073 (CVSS puanı: 8,8) – Microsoft Windows SMB İstemcisinde ayrıcalık yükseltmeye izin verebilecek uygunsuz bir erişim kontrolü güvenlik açığı (Microsoft tarafından Haziran 2025’te düzeltildi)
- CVE-2025-2746 (CVSS puanı: 9,8) – Kentico Xperience CMS’de, bir saldırganın özet kimlik doğrulamasında boş SHA1 kullanıcı adlarının Staging Sync Server parolasını işlemesinden yararlanarak yönetim nesnelerini kontrol etmesine olanak tanıyan, alternatif bir yol veya kanal güvenlik açığı kullanan bir kimlik doğrulama atlaması (Kentico’da Mart 2025’te düzeltildi)
- CVE-2025-2747 (CVSS puanı: 9,8) – Kentico Xperience CMS’de, bir saldırganın Yok türü olarak tanımlanan sunucu için Staging Sync Server parola işleme özelliğinden yararlanarak yönetim nesnelerini kontrol etmesine olanak tanıyan, alternatif bir yol veya kanal güvenlik açığı kullanan bir kimlik doğrulama atlaması (Kentico’da Mart 2025’te düzeltildi)
- CVE-2022-48503 (CVSS puanı: 8,8) – Apple’ın JavaScriptCore bileşeninde, web içeriği işlenirken rastgele kod yürütülmesine neden olabilecek dizi dizini güvenlik açığının hatalı şekilde doğrulanması (Apple tarafından Temmuz 2022’de düzeltildi)
CVE-2025-33073, CVE-2025-2746 ve CVE-2025-2747 ile ilgili ayrıntılar sırasıyla Synacktiv ve watchTowr Labs’tan araştırmacılar tarafından paylaşılsa da, yukarıda bahsedilen dört sorunun vahşi ortamda nasıl kullanıldığına dair şu anda hiçbir ayrıntı yok.
Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı güvence altına almak için 10 Kasım 2025’e kadar tespit edilen güvenlik açıklarını düzeltmeleri gerekiyor.