M-Files Server’daki kritik bir güvenlik açığı, kimliği doğrulanmış saldırganların M-Files Web arayüzü aracılığıyla aktif kullanıcı oturumu belirteçlerini ele geçirmesine olanak tanıyarak kimliğin kimliğine bürünülmesine ve hassas bilgilere yetkisiz erişime olanak sağlayabilir.
CVE-2025-13008 olarak takip edilen kusur 19 Aralık 2025’te açıklandı ve kurumsal ortamlara dağıtılan birden fazla M-Files Server sürümünü etkiliyor.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-13008 |
| Güvenlik Açığı Türü | Bilgi İfşası / Oturum Tokenı Maruziyeti |
| Etkilenen Bileşen | M-Files Web (M-Files Sunucusu) |
| Şiddet | Yüksek |
| CVSS 4.0 Puanı | 8.6 |
Güvenlik Açığı Genel Bakış
CVE-2025-13008, M-Files Web’deki yetersiz oturum belirteci koruma mekanizmalarından kaynaklanan bir bilginin açığa çıkması güvenlik açığıdır.
Bu kusurdan yararlanan kimliği doğrulanmış bir saldırgan, M-Files Web arayüzünü aktif olarak kullanarak diğer kullanıcıların oturum belirteçlerini yakalayabilir ve çalabilir.
Güvenlik açığı, kurbanın belirli istemci işlemlerini gerçekleştirmesini gerektiriyor ve etkin oturumlar sırasında belirteç yakalama için bir fırsat penceresi yaratıyor.
Saldırganlar, çalınan oturum belirteçleriyle meşru kullanıcıların kimliğine bürünerek onların kimliğini, izinlerini ve erişim haklarını devralabilir.
Bu, gizli belgelerin yetkisiz olarak görüntülenmesine, kritik kayıtların değiştirilmesine ve ayrıcalıklı eylemlerin tespit edilmeden yürütülmesine olanak tanır.
Saldırganın kullanıcı parolalarını ele geçirmek yerine geçerli oturum kimlik bilgilerini kullanması nedeniyle saldırı, geleneksel kimlik doğrulama kontrollerini atlayabilir.
Güvenlik açığı, 25.12.15491.7, LTS 25.8 SR3 (25.8.15085.18), LTS 25.2 SR3 (25.2.14524.14) ve LTS 24.8 SR5 (24.8.13981.17) öncesi sürümleri çalıştıran M-Files Server yüklemelerini etkiliyor.
M-Files, CVSS 4.0’da 8,6 temel puan atadı; bu, gizlilik, bütünlük ve kullanılabilirlik ihlallerinin yüksek ciddiyetini ve ciddi potansiyelini gösteriyor.
Kusur, CWE-359 (Özel Kişisel Bilgilerin Yetkisiz Bir Aktöre İfşa Edilmesi) kapsamında kategorize edilmiş ve CAPEC-60 (Oturum Kimliklerinin Yeniden Kullanılması/Oturum Tekrarının Kullanılması) ile eşlenmiştir.
Güvenlik açığı kamuya açık olarak kullanılmamış ve sorumlu bir şekilde açıklanmış olsa da, kuruluşların yama uygulamasını geciktirmesi halinde gelecekte bu güvenlik açığından yararlanma olasılığı mevcuttur.
M-Files Server kullanan kuruluşlar, derhal yamalı sürümlere yükseltmelidir: 25.12.15491.7 veya dağıtımları için uygun LTS Hizmet Sürümü.
Güvenlik ekipleri, M-Files Web erişim günlüklerini şüpheli oturum etkinliği kalıpları açısından denetlemeli ve yamalar tam olarak dağıtılıncaya kadar belirteç tabanlı kimlik doğrulama anormallikleri için ek izleme uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.