Devlet kurumları ve yükleniciler tarafından yaygın olarak kullanılan ortak yazılımlarda ve ortak web uygulamalarında çok sayıda ciddi güvenlik açığı keşfedilmiştir, potansiyel olarak hassas sistemleri uzaktan kod yürütme saldırılarına ve veri ihlallerine maruz bırakmıştır.
CVE-2025-6076, CVE-2025-6077 ve CVE-2025-6078 olarak izlenen güvenlik açıkları, 2 Ağustos 2025’te, saldırganların tüm sistemleri tehlikeye atmasına izin verebilecek önemli güvenlik boşluklarını vurgulayan bir CEVR güvenlik açığı notunda açıklandı.
Kritik güvenlik kusurları hükümet sistemlerini ortaya çıkarır
N. Harris Computer Corporation’ın bir yan kuruluşu olan Ortak Yazılım, GIS ile ilgili çalışma, harita görüntüleme ve saha operasyonları desteği için belediyeler, eyalet hükümetleri ve özel yükleniciler tarafından kapsamlı bir şekilde kullanılan saha uygulaması yazılımı geliştirir.
| CVE kimliği | Güvenlik Açığı Türü | CVSS Puanı | Etki seviyesi |
| CVE-2025-6076 | Dosya Yükleme/RCE | Belirtilmedi | Eleştirel |
| CVE-2025-6077 | Kimlik Doğrulama Bypass | Belirtilmedi | Yüksek |
| CVE-2025-6078 | Depolanmış XSS | Belirtilmedi | Orta |
Keşfedilen güvenlik açıkları, uygulamaların dosya yükleme ve not alma özelliklerinde yetersiz girdi sterilizasyonundan kaynaklanır ve kötü amaçlı aktörler için birden fazla saldırı vektörü oluşturur.
En şiddetli güvenlik açığı olan CVE-2025-6076, kimlik doğrulamalı saldırganların uygun dosya türü kısıtlamaları veya içerik doğrulaması olmadan raporlar sekmesi üzerinden kötü amaçlı dosyalar yüklemesine izin verir.
Bu kusur, saldırganların yürütülebilir kodu doğrudan kurban sunucularında depolamasını sağlar ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Güvenlik açığı, temel dosya işleme mekanizmasını etkiler, bu da hassas hükümet verilerini işleyen kuruluşlar için özellikle tehlikeli hale getirir.
CVE-2025-6077, başka bir kritik güvenlik gözetimini ortaya koyar: Ortak Web Uygulamaları, tüm kurulumlarda özdeş varsayılan yönetici kimlik bilgilerine sahip gemi.
Bu yapılandırma zayıflığı, saldırganlara, özellikle dosya yükleme güvenlik açığı ile birleştirildiğinde, idari erişim elde etmek için basit bir yol sağlar.
Üçüncü güvenlik açığı olan CVE-2025-6078, yetersiz giriş dezenfekte edilmesinin kimlik doğrulamalı kullanıcıların HTML ve JavaScript kodunu enjekte etmesine izin verdiği iş görünümleri içindeki notlar özelliğini etkiler.
Bu depolanmış siteler arası komut dosyası (XSS) güvenlik açığı, kullanıcı kimlik bilgilerini çalmak, görüntülenen verileri manipüle etmek veya diğer kullanıcıların tarayıcılarında kötü amaçlı komut dosyaları yürütmek için kullanılabilir.
Ortak yazılımın devlet kurumları ve yüklenicileri arasında kapsamlı kullanımı göz önüne alındığında, bu güvenlik açıkları kamu sektörü siber güvenliği için önemli riskler oluşturmaktadır.
Başarılı sömürü, hassas hükümet verilerine yetkisiz erişime, saha raporlarının manipülasyonuna ve kritik belediye hizmetlerinin potansiyel olarak bozulmasına yol açabilir.
Uzaktan kod yürütme özellikleri ve varsayılan kimlik bilgisi güvenlik açıklarının birleşimi özellikle ciddi risk senaryoları oluşturur.
Ortak yazılımı, bu güvenlik sorunlarını ele almak için 4.32.2 sürümünü yayınladı.
Yama, varsayılan yöneticiyi kaldırır ve kullanıcı hesaplarını düzenler, Notlar bölümü için uygun giriş sıhtısı uygular ve dosya yüklemelerini CSV, JPG, PNG, TXT, DOC ve PDF dosyaları dahil güvenli biçimlerle sınırlar.
Güncellenmiş sürüm ayrıca dosyanın yürütülmesini önler ve yüklemeleri yalnızca görüntülenen işlevsellikle sınırlar.
Organizasyonlar İş Ortağı Web sürüm 4.32 ve önceki sürümleri hemen kullanılabilir yama uygulamalıdır.
Güvenlik açıkları, federal hükümetin kritik altyapı yazılımını güvence altına alma taahhüdünü vurgulayarak Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) Ryan Pohlner tarafından sorumlu bir şekilde açıklandı.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!