Xerox Corporation, FreeFlow Core yazılımında iki yüksek etkili güvenlik açığını ele alan acil güvenlik güncellemeleri yayınladı. Şimdi CVE-2025-8355 ve CVE-2025-8356 olarak izlenen kusurlar, kurumsal ortamları sunucu tarafı istek amptörlerine (SSRF) ve uzaktan kod yürütme (RCE) saldırılarına maruz kalma potansiyeline sahiptir.
8 Ağustos 2025’te yayınlanan Güvenlik Bülteni XRX25-013’te açıklanan güvenlik açıkları, FreeFlow Core sürüm 8.0.4’ü özellikle etkilemektedir. Xerox, her iki güvenlik açıklarını da ciddiyette “önemli” olarak sınıflandırmış ve kullanıcıları gerekli güvenlik düzeltmelerini içeren 8.0.5 sürümüne yükseltmeye çağırır.
Xerox güvenlik açıklarının detayları: CVE-2025-8355 ve CVE-2025-8356
İlk sayı, CVE-2025-8355, bir XML harici varlık (XXE) işleme kusurundan kaynaklanmaktadır. Etkilenen sistemlerde, yanlış sterilize edilmiş XML girişi, saldırganların varlık bildirimlerini manipüle ederek SSRF saldırılarını sağlayabilir. Bu, bir düşmanın sunucuyu iç hizmetlere veya harici hedeflere istenmeyen istekler başlatmaya zorlayan XML yükleri üretmesini sağlar. Bu tür istekler dahili altyapıyı araştırmak, verileri eklemek veya erişim kontrollerini atlamak için kullanılabilir.
İkinci güvenlik açığı olan CVE-2025-8356, uzaktan kod yürütülmesine yol açabilecek bir yol geçirme kusurudur. Bir saldırgan, kötü onaylanmış dosya yolu girişlerinden yararlanarak, uygulamanın amaçlanan kapsamı dışındaki dizinlere erişebilir. Doğrudan kaldırılırsa, bu güvenlik açığı kötü amaçlı aktörlerin ana bilgisayar sisteminde keyfi kod yürütmesine izin verebilir ve bu da tam bir sistem uzlaşmasına neden olabilir.
Her iki kusur da Xerox tarafından “Yüksek” olarak sınıflandırılan 7.5 baz puanı ile Ortak Güvenlik Skorlama Sistemi (CVSS) 3.1 altında derecelendirilmiştir. İlişkili vektör dizesi:
CVSS: 3.1/AV: n/ac: l/pr: n/ui: n/s: u/c: h/i: n/a: n.
Bununla birlikte, Ulusal Güvenlik Veritabanı’nın (NVD), bültenin piyasaya sürüldüğü sırada kendi CVSS değerlendirmesini henüz yayınlamadığını belirtmek gerekir.
Keşif ve sorumlu açıklama
Xerox sistemlerindeki bu güvenlik açıkları, Horizon3.Ai ile bir güvenlik araştırmacısı olan Jimi Sebree tarafından keşfedildi. Sebree, koordineli bir açıklama ve zamanında yama sürümü sağlamak için doğrudan Xerox’un dahili güvenlik ekibiyle işbirliği yaptı.
Xerox, araştırmacının bültendeki rolünü kabul etti:
“Bu güvenlik açıklarını tanımlamak ve azaltmak için Xerox ekibiyle çalıştığınız için Horizon3.Ai ile Jimi Sebree’ye teşekkür ederiz.”
Bu sorumlu açıklama süreci, Xerox’un kusurlar yaygın olarak bilinmeden önce yamalar geliştirmesini ve test etmesini sağlayarak vahşi doğada sömürü potansiyelini azaltır.
Kuruluşlar için riskler
FreeFlow Core 8.0.4’te hem CVE-2025-8355 hem de CVE-2025-8356’nın varlığı, belge iş akışı otomasyonu platformuna dayanan kuruluşlar için siber tehditleri yükseltir. Bu güvenlik açıklarından yararlanmak aşağıdakilere yol açabilir:
- SSRF aracılığıyla dahili hizmetlere yetkisiz erişim
- Hassas bilgilerin maruz kalması veya hırsızlığı
- Xerox sunucularında kötü amaçlı kodun yürütülmesi
- Tam sistem uzlaşması
- Daha geniş ağ keşfi ve yanal hareket
Freeflow Core’un belge işleme altyapılarında oynadığı kritik rol göz önüne alındığında, bu sorunlar iş operasyonlarını ciddi şekilde bozabilir ve ele alınmazsa hassas verileri tehlikeye atabilir.
Çözüm
CVE-2025-8355 ve CVE-2025-8356 olarak tanımlanan kritik Xerox güvenlik açıklarını ele almak için, kuruluşların SSRF ve uzaktan kod yürütme saldırılarını önlemek için temel yamalar içerdiği için FreeFlow Core sürüm 8.0.5’e yükseltmeleri şiddetle tavsiye edilir.
Güncelleme, Xerox’un resmi destek kanalları aracılığıyla kullanılabilir. Yamayı uygulamaya ek olarak, sistem yöneticileri mevcut dağıtımları denetlemeli, uygun ağ segmentasyonunu uygulamalı, XML işleme için katı giriş doğrulaması uygulamalı ve olağandışı etkinlik için günlükleri izlemelidir.