Versa Concerto güvenlik açıkları, 10.0 dahil olmak üzere yamalı

Versa Networks, Konçerto Ağ Güvenliği ve SD-WAN düzenleme platformunda, mümkün olan en yüksek şiddet derecesi olan 10.0 puan alan üç güvenlik açığını yamaladı.

Versa konçerto güvenlik açıkları, Project Discovery tarafından bu haftanın başlarında bir blog yazısında ortaya çıktı ve Versa’nın araştırmacıların ilk Şubat ayında yapılan açıklamalarına yanıt vermediğini söyledi. Araştırmacılar, “gelecek bir yamanın herhangi bir yanıtı veya göstergesi almadıklarını söylediler. Sonuç olarak, farkındalığı artırmak ve etkilenen sistemleri güvence altına almak için gerekli eylemleri sormak için bulgularımızı yayınlamak zorunda kalıyoruz”.

Ancak, Cyber ​​ExpressVersa, güvenlik açıklarının 7 Mart’ta bir sıcaklık ile sabitlendiğini ve ardından Concerto 12.2.1’de 16 Nisan’da genel sürümde sabitlendiğini söyledi. Versa, 16 Nisan düzeltmesinin kanıtı olarak bir ekran görüntüsü sundu. Versa ayrıca şirketin araştırmacılarla temas halinde olduğunu söyledi.

Versa, “Bu güvenlik açıklarının vahşi doğada kullanıldığına dair bir gösterge yok ve müşteri etkisi bildirilmedi” dedi. “Etkilenen tüm müşteriler, önerilen güncellemelerin nasıl uygulanacağı konusunda rehberlik ederek yerleşik güvenlik ve destek kanalları aracılığıyla bilgilendirildi.”

Versa konçerto güvenlik açıkları

Versa konçerto güvenlik açıkları aşağıdaki CVE’ler atandı:

• CVE-2025-34027, 10.0 dereceli bir yarış koşulu ve uygunsuz kimlik doğrulama güvenlik açığı. Versa Concerto platformu, 12.1.2 ila 12.2.0 sürümlerindeki Concerto platformu, bir saldırganın yönetim uç noktalarına erişmesine izin verebilecek Traefik ters proxy konfigürasyonundaki bir kimlik doğrulama bypassına karşı savunmasızdır. Spack yükleme uç noktası, yol yükleme manipülasyonu yoluyla uzaktan kod yürütme sağlamak için bir yarış koşulu ile birlikte kullanım süresine (Toctou) bir kontrol süresi ile potansiyel olarak kullanılabilir.
• CVE-2025-34026, 9.2 Ağırlıklı Yanlış Kimlik Doğrulama Güvenlik Açığı. TRAEFIK ters proxy konfigürasyonundaki kimlik doğrulama baypası, iç aktüatör uç noktasının yığın dökümlerine ve izleme kütüklerine erişim için kaldırılmasına izin verebilir.
• CVE-2025-34025, Kritik Kaynak Güvenlik Açığı için 8.6 SEVERLİKSE Yanlış İzin Ataması. Konçerto platformu, kabın ana bilgisayar yollarını değiştirmesine izin veren ana bilgisayar ikili yollarının güvensiz varsayılan montajının neden olduğu bir ayrıcalık artış ve konteyner kaçış güvenlik açığına karşı savunmasızdır. Kaçış, ana bilgisayar işletim sistemi yapılandırmasına bağlı olarak uzaktan kod yürütmeyi veya doğrudan ana bilgisayar erişimini tetiklemek için kullanılabilir.

Proje Discovery araştırmacıları, “Bu güvenlik açıkları, birlikte zincirlendiğinde, bir saldırganın hem uygulamayı hem de temel ana bilgisayar sistemini tam olarak tehlikeye atmasına izin verebilir” diye yazdı. “Bu araştırma, modern bulut tabanlı dağıtımlardaki küçük yanlış yapılandırmaların, özellikle hassas ağ konfigürasyonlarını ve kurumsal verileri işleyen platformlar için ciddi güvenlik risklerine nasıl yükselebileceğini vurgulamaktadır.”

Versa’nın yanıtı

İşletmeleri ve hizmet sağlayıcıları içeren bir müşteri tabanıyla, güvenlik açığı önemli etkileri olabilir, bu nedenle şirketin hızlı yanıtı doğru olanıdır.

Şirket, “Versa sorumlu ifşa uygulamalarını takip ediyor ve potansiyel riskleri tanımlamak, azaltmak ve iletmek için proaktif bir yaklaşım alıyor” dedi. Cyber ​​Express. “Güvenlik platformumuzun temelini oluşturuyor ve güven ve koruma bağlılığımızın bir parçası olarak sürekli izleme, hızlı yanıt ve müşteri eğitimine yatırım yapmaya devam ediyoruz.”

Birçok müşteri zaten 16 Nisan sürümüne yükseltildi, şirket, “Bazı dağıtımların hala beklemede olabileceğini kabul etsek de” dedi.

Versa, etkilenen sürümler ve azaltma adımları hakkında ayrıntılı bilgilerin sadece müşteri erişimiyle sınırlı olduğunu söyledi.

İlgili