Binlerce sunucuyu uzaktan kod yürütme ve tam uzlaşma riski taşıyan popüler bir düşük kodlu PHP Web uygulama jeneratörü olan ScriptCase’de iki kritik güvenlik açığı keşfedilmiştir.
CVE-2025-47227 ve CVE-2025-47228 olarak izlenen kusurlar, SynackTiv tarafından bir rapora göre, veritabanı ve dizin yönetimi için web uygulamalarının yanında yaygın olarak dağıtılan üretim ortam modülünü (“Prod konsolu” olarak da bilinir) etkiler.
ScriptCase, geliştiricilerin grafik arayüz aracılığıyla PHP uygulamaları oluşturmalarını sağlar.
| CVE kimliği | Tanım | Şiddet | Saldırı vektörü | Durum |
| CVE-2025-47227 | Auth Pre-auth Yönetici Parola Sıfırlama (Bypass) | Yüksek | Uzaktan, UNATH. | Fışkırtılmamış |
| CVE-2025-47228 | Kimliği doğrulanmış kabuk enjeksiyonu (RCE) | Yüksek | Uzaktan, Auth. | Fışkırtılmamış |
Ana komut dosyası arayüzü genellikle üretim sunucularından uzak tutulurken, prod konsolu tipik olarak mevcuttur, bu da bu güvenlik açıklarını özellikle tehlikeli hale getirir.
Güvenlik açıkları
CVE-2025-47227: Önceden doğrulanmış yönetici şifresi sıfırlama
- Tip: Kimlik Doğrulama Bypass
- Saldırı Vektörü: Uzaktan, kimlik doğrulama gerekmez
- Tanım: Bir saldırgan, belirli bir HTTP GET dizisini PROD Console Oturum Açma sayfasına zincirleyerek, önceden erişim olmadan yönetici şifresini sıfırlayabilir. Tek gereksinim, oturum açma sayfası konumu ve OCR araçları kullanılarak otomatikleştirilebilen basit bir captcha’yı çözme yeteneğidir. Bu, saldırgana Prod konsoluna tam idari erişim sağlar.
CVE-2025-47228: Kabuk enjeksiyonu yoluyla uzaktan komut yürütme
- Tip: Kimliği doğrulanmış komut enjeksiyonu
- Saldırı Vektörü: Uzaktan, kimliği doğrulanmış erişim (CVE-2025-47227 üzerinden kazanılabilir)
- Tanım: Prod konsoluna giriş yaptıktan sonra, bir saldırgan SSH Bağlantı Yapılandırma özelliğinden yararlanabilir. Anlaşılmamış kullanıcı girişi doğrudan bir kabuk komutuna katılır ve sunucu tarafından yürütülür ve Web Server kullanıcısı (genellikle www-data) olarak keyfi komut yürütülmesine izin verir. Bu, sunucu üzerinde tam kontrol elde etmek, hassas verilere erişmek veya ağa daha da döndürmek için kullanılabilir.
Etkilenen sürümler
| Modül/Sürüm | Komut dosyasına dahil | Durum |
| Üretim Ortamı 1.0.003 Build-2 | 9.12.006 (23) | Hassas |
| Önceki sürümler | Çeşitli | Muhtemelen savunmasız |
Şu anda resmi bir düzeltme mevcut değil. Kullanıcılara Proxy veya Güvenlik Duvarı seviyesindeki özel uç noktaları engellemeleri ve belirli uç noktaları engellemeleri şiddetle tavsiye edilir.
Darbe
- Tam Sunucu Uzlaşması: Saldırganlar yönetici şifresini sıfırlayabilir, oturum açabilir ve keyfi komutlar yürütebilir.
- Kimlik doğrulama gerekmez: Saldırı, Prod konsoluna ulaşabilen herkes tarafından uzaktan başlatılabilir.
- Otomasyon mümkün: Captcha koruması, kütle sömürüsünü sağlayarak OCR ile atlanabilir.
Öneriler
- Erişimi kısıtlayın: Ürün konsoluna ağ erişimini sınırlayın.
- Korunmasız uç noktaları bloke: Proxy veya güvenlik duvarındaki /prod/lib/php/devel/iface/login.php ve ilgili yönetici komut dosyalarına erişimi reddedin.
- Güncellemeler için Monitör: Satıcıdan resmi bir yama bekleyin ve en kısa sürede uygulayın.
Araştırmacılar Alexandre Droullé ve Alexandre Zanni bu güvenlik açıklarını keşfettikleri için kredilendiriliyor. Senaryo kullanan kuruluşlar riski azaltmak için derhal harekete geçmelidir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt