Windows, Linux ve macOS’ta çalışan, Lua ve C ile yazılmış hafif bir metin düzenleyici olan Lite XL’in, rastgele kod yürütülmesine olanak verebilecek yüksek düzeyde bir güvenlik açığı içerdiği tespit edildi.
Güvenlik araştırmacıları, düzenleyicinin proje yapılandırma dosyalarını işleme biçimindeki kusurları tespit ederek, güvenilmeyen projeleri açarken potansiyel olarak kullanıcıları kötü amaçlı kod yürütmeye maruz bırakıyor.
| CVE Kimliği | Etkilenen Sürümler | Güvenlik Açığı Türü | CVSS Puanı |
|---|---|---|---|
| CVE-2025-12120 | 2.1.8 ve öncesi | Otomatik .lua Yürütme Yoluyla Rastgele Kod Yürütme | Yüksek |
Lite XL, eklentiler ve projeye özel modüller aracılığıyla genişletilebilirlik sağlayacak şekilde tasarlanmıştır; bu da onu özelleştirilebilir bir düzenleme ortamı arayan geliştiriciler arasında popüler bir seçim haline getiriyor.
Ancak bu esneklik, yakın zamanda açıklanan ve 2.1.8 ve önceki sürümleri etkileyen iki güvenlik açığı nedeniyle önemli bir güvenlik riski oluşturmuştur.
Kritik Güvenlik Açığı Ayrıntıları
CVE-2025-12120 olarak takip edilen birincil güvenlik açığı, Lite XL’in .lite_project.lua dosyalarını kullanıcı onayı olmadan otomatik olarak yürütmesinden kaynaklanıyor.
Kullanıcılar bir proje dizinini açtığında Lite XL, projenin Lua yapılandırma modülünü otomatik olarak yükler ve çalıştırır.
Bu davranış, meşru projeye özel yapılandırmaya yönelik olsa da, kötü niyetli aktörler için bir saldırı vektörü oluşturur.
Saldırgan, yürütülebilir Lua kodunu içeren özel hazırlanmış bir .lite_project.lua dosyasını içeren kötü amaçlı bir proje oluşturabilir.
Şüphelenmeyen bir kullanıcı bu projeyi Lite XL’de açtığında, kötü amaçlı kod, Lite XL işleminin kendisiyle aynı ayrıcalıklarla otomatik olarak yürütülür.
Bu, saldırganların sistem kaynaklarına yetkisiz erişim sağlamasına, hassas verileri çalmasına veya kullanıcının geliştirme ortamını tehlikeye atmasına olanak tanıyabilir.
Güvenlik açığı özellikle endişe vericidir çünkü kullanıcılar, güvenilir olduğuna inandıkları kaynaklardan depoları kopyalayabilir veya gömülü Lua kodunun oluşturduğu potansiyel tehdidin farkına varmadan ortak platformlardan proje arşivlerini indirebilir.
Kusursuz, otomatik yürütme, kullanıcıların herhangi bir uyarıyla veya kodu çalıştırmadan önce inceleme fırsatıyla karşılaşmadığı anlamına gelir.
Çeşitli kaynaklardan birden fazla projeyle çalışan geliştiriciler için güvenlik etkileri önemlidir.
Bir saldırgan, kalıcı erişim sağlamak, kaynak kodunu veya kimlik bilgilerini sızdırmak, devam eden projelere arka kapılar eklemek veya geliştirici makinelerin güvenliğini tehlikeye atarak tedarik zinciri saldırıları başlatmak için bu güvenlik açığından yararlanabilir.
Risk, geliştiricilerin çeşitli veri havuzlarından alınan projeler üzerinde işbirliği yaptığı ekip ortamlarında daha da artıyor.
Lite XL geliştirme ekibi, bu güvenlik açıklarını iki kritik çekme isteği aracılığıyla giderdi. PR #1472, proje modülleri için bir güven koruma mekanizması uygulayarak güvenilmeyen projelerin Lua kodunu otomatik olarak yürütmesini engeller.
PR #1473, ek güvenlik riskleri oluşturan eski exec işlevini kaldırır. Bu düzeltmeler, projelerin açık kullanıcı yetkilendirmesi olmadan kod yürütememesini sağlar.
Kullanıcıların derhal Lite XL’in en son sürümüne güncelleme yapmaları önemle tavsiye edilir. Güncellenmiş sürüm, kod çalıştırılmadan önce kullanıcıların proje modülünün yürütülmesini onaylamasını gerektiren güvenlik istemleri sunar.
Bu ek kullanıcı onayı katmanı, kötü amaçlı kodun yanlışlıkla yürütülmesini önlemeye yardımcı olur.
Güvenlik araştırmacısı Doğuş Demirkıran, GitHub kullanıcısı Summertime tarafından bağımsız olarak tespit edilen güvenlik açıklarını bildirdi.
İşbirliğine dayalı açıklama süreci, geliştirici topluluklarının korunmasında sorumlu güvenlik açığı raporlamasının önemini vurgulamaktadır.
Lite XL kullanan geliştiriciler, yamalı sürüme güncellemeye öncelik vermeli ve güncelleme kendi geliştirme ortamlarında dağıtılıncaya kadar güvenilmeyen kaynaklardan gelen projeleri açarken dikkatli olmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.