WildFly ve JBoss EAP gibi Java uygulamalarında yaygın olarak kullanılan bir bileşen olan Undertow HTTP sunucusu çekirdeğinde kritik bir güvenlik açığı keşfedildi.
CVE-2025-12543 olarak takip edilen güvenlik açığı, saldırganların kullanıcı oturumlarını ele geçirmesine ve dahili sistemleri tehlikeye atmasına olanak sağlayarak uygulama güvenliği açısından ciddi riskler oluşturuyor.
Kusur, Undertow’un gelen isteklerde HTTP Ana Bilgisayar başlıklarını işleme biçiminde mevcuttur. Kitaplık bu başlıkları doğru şekilde doğrulayamaz ve hatalı biçimlendirilmiş veya kötü amaçlı Ana Bilgisayar başlıklarının reddedilmeden geçmesine izin verir.
Bu zayıflık, önbellek zehirlenmesi, dahili ağ taraması ve oturumun ele geçirilmesi dahil olmak üzere birden fazla saldırı vektörü oluşturur.
| CVE Kimliği | CVE-2025-12543 |
|---|---|
| CVSS Puanı | 9.6 (Kritik) |
| Şiddet | Önemli |
| Saldırı Vektörü | Ağ |
| CWE | CWE-20 (Uygunsuz Giriş Doğrulaması) |
Red Hat, bu güvenlik açığını “Önemli” önem derecesine sahip olarak sınıflandırdı çünkü sınırlı kullanıcı etkileşimi gerektirmesine rağmen kimlik doğrulaması olmadan uzaktan yararlanılabilir.
Başarılı bir şekilde yararlanma, saldırganların kullanıcı kimlik bilgilerini çalmasına, ek hesapları ele geçirmesine veya dahili sistemlere yetkisiz erişim elde etmesine olanak tanıyabilir.
Güvenlik açığı, etkilenen sistemlerin hem gizliliğini hem de bütünlüğünü ciddi şekilde etkiler. Red Hat JBoss Kurumsal Uygulama Platformu 8.1 ve ilgili bileşenler, eap8-undertow, eap8-wildfly ve diğer ilişkili kitaplıklar dahil olmak üzere birden fazla pakette yer alır.
Red Hat bu güvenlik açığını gidermek için güvenlik yamaları yayınladı. Etkilenen sürümleri kullanan kuruluşlar, RHSA-2026:0386 ve RHSA-2026:0383 güvenlik danışma belgeleri aracılığıyla 8 Ocak 2026’da yayımlanan mevcut güncellemeleri derhal uygulamalıdır.
Şu anda hiçbir alternatif azaltma seçeneği Red Hat’in kullanım kolaylığı ve kararlılık güvenlik kriterlerini karşılamıyor ve bu da önerilen eylem planının anında yama yapılmasını sağlıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
