ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çarşamba günü Microsoft Office ve Hewlett Packard Enterprise (HPE) OneView’ı etkileyen iki güvenlik açığını, aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Güvenlik açıkları aşağıda listelenmiştir:
- CVE-2009-0556 (CVSS puanı: 8,8) – Microsoft Office PowerPoint’te uzaktaki saldırganların bellek bozulması yoluyla rastgele kod yürütmesine olanak tanıyan bir kod yerleştirme güvenlik açığı
- CVE-2025-37164 (CVSS puanı: 10,0) – HPW OneView’da, kimliği doğrulanmamış uzaktan bir kullanıcının uzaktan kod yürütmesine olanak tanıyan bir kod yerleştirme güvenlik açığı
CVE-2025-37164’ün ayrıntıları geçen ay HPE’nin güvenlik açığının yazılımın 11.00 sürümünden önceki tüm sürümlerini etkilediğini söylemesiyle ortaya çıktı. Şirket ayrıca OneView 5.20’den 10’a kadar olan sürümler için düzeltmeleri de kullanıma sundu.
İki kusuru hedef alan saldırıların kapsamı ve kaynağı şu anda belirsiz ve bunların vahşi doğada istismarına atıfta bulunan kamuya açık hiçbir rapor yok gibi görünüyor. Ancak eSentire’ın 23 Aralık 2025 tarihli bir raporu, CVE-2025-37164 için ayrıntılı bir kavram kanıtlama (PoC) istismarının yayınlandığını ortaya çıkardı.
eSentire, “PoC istismar kodunun kamuya açık olması, uygulamanın etkilenen sürümlerini çalıştıran kuruluşlar için riski önemli ölçüde artırıyor” dedi. “Güvenlik açığı 11.0’dan önceki tüm sürümleri etkilediğinden, kuruluşların potansiyel istismar riskini azaltmak için gerekli güncellemeleri uygulamaları şiddetle tavsiye edilir.”
Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 28 Ocak 2026’ya kadar gerekli düzeltmeleri uygulamaları önerilir.