Cisco Talos’un güvenlik açığı Keşif ve Araştırma ekibi, üç popüler yazılım platformunda toplam 12 kritik güvenlik açığını açıkladı ve dünya çapında milyonlarca kullanıcıyı etkileyebilecek önemli güvenlik risklerini vurguladı.
Açıklama, WWBN Avideo’da yedi güvenlik açığı, dördü Meddream PACS Premium’da ve biri Eclipse ThreadX Filex’te, bunların hepsi Cisco’nun üçüncü taraf güvenlik açığı açıklama politikasına uygun olarak kendi satıcıları tarafından yamalı.
WWBN Avideo platformu birden fazla saldırı vektörüyle karşı karşıya
Barındırma, yönetim ve para kazanma özellikleri sunan yaygın olarak kullanılan bir video akışı platformu olan WWBN Avideo’nun, Cisco Talos’tan Claudio Bozzato tarafından keşfedilen yedi farklı güvenlik açıklığı içerdiği bulundu.
| Ürün | CVE | Güvenlik Açığı Türü | Darbe |
| Wwbn avideo | CVE-2025-46410 | XSS | JavaScript Yürütme |
| Wwbn avideo | CVE-2025-53084 | XSS | JavaScript Yürütme |
| Wwbn avideo | CVE-2025-50128 | XSS | JavaScript Yürütme |
| Wwbn avideo | CVE-2025-36548 | XSS | JavaScript Yürütme |
| Wwbn avideo | CVE-2025-41420 | XSS | JavaScript Yürütme |
| Wwbn avideo | CVE-2025-25214 | Yarış durumu | Kod Yürütme |
| Wwbn avideo | CVE-2025-48732 | Eksik kara liste | Kod Yürütme |
| Meddream | CVE-2025-26469 | Yanlış İzinler | Kimlik bilgisi maruziyeti |
| Meddream | CVE-2025-27724 | Ayrıcalık artışı | Yüksek yetenekler |
| Meddream | CVE-2025-32731 | Yansıtılan XSS | JavaScript Yürütme |
| Meddream | CVE-2025-24485 | SSRF | Sunucu tarafı isteği asmeri |
| Eclipse Threadx | CVE-2024-2088 | Arabellek taşması | Kod Yürütme |
Bunlardan beşi, saldırganların kötü amaçlı web sayfalarını ziyaret eden kullanıcıları hedefleyen özel hazırlanmış HTTP talepleri aracılığıyla keyfi JavaScript kodu yürütmesine izin verebilecek siteler arası komut dosyası (XSS) güvenlik açıklarını içermektedir.
En ilgili keşifler, birlikte zincirlendiğinde, keyfi kod yürütme yoluyla tam sistem uzlaşmasını sağlayan iki güvenlik açığı içerir.
Bunlar, AvideoEncoder.json.php Unzip işlevinde bir yarış koşulu güvenlik açığı ve tehlikeli .phar dosya isteklerine izin veren .htaccess yapılandırmasında eksik bir kara liste içerir.
Meddream PACS Premium Güvenlik Endişeleri
Tıbbi görüntüleme sektörü, DICOM 3.0 uyumlu bir resim arşivleme ve iletişim sistemi olan Meddream PACS Premium, Emmanuel Tacheau ve Cisco Talos’tan Marcin Noga tarafından keşfedilen dört kritik güvenlik açığı içerdiğinden önemli risklerle karşı karşıya.
Bu güvenlik açıkları, şifrelenmiş kimlik bilgilerini açığa çıkarabilecek yanlış varsayılan izinlerden, artış kusurlarını ve sunucu tarafı istek ambalge saldırılarını ayrıcalıklı olarak ortaya çıkarır.
Eclipse ThreadX gömülü sistemler üzerindeki etkisi
Kaynak kısıtlı cihazlarda kullanılan gerçek zamanlı işletim sistemleri için gömülü bir geliştirme paketi olan Eclipse Threadx, FileX RAM disk sürücüsünde bir tampon taşma güvenlik açığı içerir.
Kelly Patterson tarafından keşfedilen bu güvenlik açığı, özel hazırlanmış ağ paketleri aracılığıyla kod yürütmeyi etkinleştirebilir.
Bu platformları kullanan kuruluşlar derhal mevcut yamaları uygulamalı ve en son sürümlere güncellemelidir.
Ek koruma için, yöneticiler potansiyel sömürü girişimlerini tespit etmek için Snort.org’dan en son Snort kural setlerini indirebilir. Cisco Talos bu güvenlik açıklarını izlemeye devam ediyor ve Talos Intelligence web sitesi aracılığıyla güncellenmiş tavsiyeler sunuyor.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir