Güvenlik araştırmacıları, dünya çapındaki finansal kurumlar, kuruluşlar ve bireysel kullanıcılar tarafından kullanılan web tabanlı bir FTP istemcisi olan Monsta FTP’de aktif olarak yararlanılan bir uzaktan kod yürütme güvenlik açığı keşfettiler.
Şu anda CVE-2025-34299 olarak izlenen kusur, 2.11.2’ye kadar olan sürümleri etkiliyor ve saldırganların, kimlik doğrulaması olmadan savunmasız sunucularda rastgele kod çalıştırmasına olanak tanıyor.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Sürüm | Durum | Sömürü |
|---|---|---|---|---|
| CVE-2025-34299 | Uzaktan Kod Yürütme (RCE) | Monsta FTP’si ≤ 2.11.2 | v2.11.3’te yamalı (26 Ağu 2025) | Vahşi doğada aktif sömürü |
WatchTowr Laboratuvarlarındaki araştırmacılar, tehdit yanıt süreçlerinin bir parçası olarak ilk olarak Monsta FTP 2.10.4 sürümündeki daha eski bir güvenlik açığını araştırdılar.
Ancak analizler, 2.10.3 sürümünde daha önce bildirilen güvenlik açıklarının, keşif sırasındaki en son sürüm de dahil olmak üzere sonraki sürümlerde hiçbir zaman yeterince düzeltilmediğini ortaya çıkardı.
Araştırma, geliştiricilerin sürüm 2.11’de kapsamlı giriş doğrulama işlevleri eklemesine rağmen bu güvenlik önlemlerinin temel güvenlik açığını gidermede başarısız olduğunu ortaya çıkardı.
inputValidator.php adlı dosyada bulunan yeni filtreleme mekanizmaları, güvenlik iyileştirmeleri sağladı ancak aslında uzaktan kod yürütme kusurunu hafifletmedi.
Saldırı Nasıl Çalışır?
Güvenlik açığı, uygulamanın harici SFTP sunucularından dosya almasına olanak tanıyan Monsta FTP’nin downloadFile işlevinden yararlanıyor.
Saldırganlar, Monsta FTP’ye saldırganın kontrolü altındaki kötü amaçlı bir SFTP sunucusuna bağlanması, bir veri indirmesi ve bunu hedef sunucuda isteğe bağlı bir konuma yazması talimatını veren dikkatle hazırlanmış bir HTTP isteği yoluyla bu işlevsellikten yararlanabilir.
Saldırı, kimlik doğrulama gerektirmez ve savunmasız uç noktaya tek bir POST isteği gönderilerek gerçekleştirilebilir.
Kötü amaçlı dosya web’den erişilebilen bir dizine yazıldığında, saldırganlar sunucuda isteğe bağlı kod çalıştırabilir ve bu da potansiyel olarak sistemin tamamının ele geçirilmesine yol açabilir.
Monsta FTP geliştiricileri, uzaktan kod yürütme güvenlik açığını gideren 2.11.3 sürümünü 26 Ağustos 2025’te yayınladı.
Kusur, 4 Kasım 2025’te resmi olarak CVE-2025-34299 olarak atandı. Monsta FTP çalıştıran kuruluşların, aktif istismar girişimlerine karşı koruma sağlamak için derhal 2.11.3 veya daha yeni bir sürüme yükseltmeleri gerekir.
Bu keşif, üçüncü taraf yazılım bileşenlerinde, özellikle de PHP ile yazılmış ve internete açık olanlarda, güvenlik açığının giderilmesinin tamamlanmamış olmasıyla ilgili süregelen endişeleri vurgulamaktadır.
Güvenlik uzmanları, web tabanlı dosya yönetimi araçlarının kapsamlı denetimlerinin yapılmasını ve ağ bölümlendirmesi ve erişim kısıtlamaları gibi ek güvenlik kontrollerinin uygulanmasını önermektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.