Microsoft, saldırganların etkilenen sistemlerde keyfi kod yürütmesine izin verebilecek İnternet Bilgi Hizmetleri (IIS) Web dağıtım aracında kritik bir güvenlik açığı açıkladı.
CVE-2025-53772 olarak adlandırılan güvenlik açığı, 12 Ağustos 2025’te açıklandı ve 10 üzerinden 8.8 CVSS skoru ile “önemli” bir önem derecesi taşıyor.
| Güvenlik Açığı Detayları | Bilgi |
| CVE kimliği | CVE-2025-53772 |
| Yayın tarihi | 12 Ağustos 2025 |
| CNA atama | Microsoft |
| Darbe | Uzak Kod Yürütme |
| Maksimum önem | Önemli |
| Zayıflık türü | CWE-502: Güvenilmeyen verilerin düzenlenmesi |
| CVSS Puanı | 8.8 / 7.7 |
Güvenlik açığı, web uygulamalarını ve içeriği IIS web sunucularına dağıtmak için yaygın olarak kullanılan bir Microsoft aracı olan Web Dağıtım Çerçevesi’ndeki güvenilmeyen verilerin uygunsuz düzenlenmesinden kaynaklanmaktadır.
Bu kusur, düşük seviyeli ayrıcalıklara sahip kimliği doğrulanmış saldırganların, seansizasyon sürecinden yararlanarak savunmasız sistemler üzerinde potansiyel olarak tam kontrol sahibi olmak için izin verir.
Saldırı vektörü, özellikle düşük saldırı karmaşıklığı olan bir ağ bağlantısı üzerinde uzaktan yürütülebileceği ve kullanıcı etkileşimi gerektirmediği için özellikle ilgilidir.
Saldırılan bir kez, saldırganlar hedeflenen sistemin gizliliği, bütünlüğü ve mevcudiyeti arasında yüksek etki yaratabilirler.
Güvenlik açığı, otomatik dağıtım işlemleri için kurumsal ortamlarda yaygın olarak kullanılan Web Dağıtımının temel işlevselliğini etkiler.
Güvenlik araştırmacıları bunu bir CWE-502 zayıflığı olarak sınıflandırdılar, bu da uygulamanın, sonuçta elde edilen verilerin geçerli olduğunu yeterince doğrulamadan güvenilmeyen verileri düzensiz hale getirdiğini gösterir.
Bu tür bir güvenlik açığı, uzaktan kod yürütülmesine ulaşmak için tarihsel olarak kullanılmıştır, bu da IIS Web dağıtımını kullanan kuruluşlar için önemli bir güvenlik endişesi haline getirmiştir.
Microsoft güvenlik açığını kabul etti ve sorunu ele almak için güvenlik güncellemelerini yayınlaması bekleniyor.
IIS Web Dağıtımını kullanan kuruluşlar, Microsoft’un Yama Kullanılabilirliği için güvenlik danışmanlarını izlemeli ve mevcut olur olmaz güncellemeleri uygulamalıdır.
Bu arada, yöneticiler Web dağıtım hizmetleri için erişim denetimlerini gözden geçirmeli ve mümkün olduğunca bu hizmetlere ağ erişimini kısıtlamayı düşünmelidir.
Açıklama, Microsoft’un sorumlu açıklama zaman çizelgesini izleyerek şirketin kamu açıklamasından önce yamalar geliştirmesine ve test etmesine izin veriyor.
Güvenlik uzmanları, kuruluşların IIS Web dağıtımını çalıştıran sistemleri envanterleştirerek ve yama dağıtımına risk değerlendirmelerine göre öncelik vererek bu güvenlik açığına maruz kalmalarını değerlendirmelerini önermektedir.
Bu güvenlik açığı, kurumsal yazılımdaki serileştirme kusurlarıyla ilişkili devam eden güvenlik zorluklarını vurgular ve hassas işlemleri işleyen dağıtım araçlarında sağlam giriş doğrulama ve güvenli kodlama uygulamaları ihtiyacını vurgular.
AWS Security Services: 10-Point Executive Checklist - Download for Free