Güvenlik araştırmacıları, Xerox FreeFlow çekirdeğinde, yetkili olmayan uzak saldırganların savunmasız sistemlerde keyfi kod yürütmesini sağlayan kritik güvenlik açıklarını açıkladılar.
Kavram kanıtı istismarları artık kamuya açıktır ve popüler baskı düzenleme platformunu kullanan kuruluşlar için acil kaygıları artırır.
Kritik güvenlik açıkları keşfedildi
Siber güvenlik firması Horizon3.Ai, Xerox FreeFlow çekirdeğinde iki ciddi güvenlik açığı keşfetti: CVE-2025-8355 olarak izlenen bir XML harici varlık (XXE) enjeksiyon kusuru ve bir yol geçiş güvenlik açığı belirlenen CVE-2025-8356.
| Bağlanmak | CVE-2025-8355 | CVE-2025-8356 |
| Şiddet | Eleştirel | Eleştirel |
| Darbe | Uzak Kod Yürütme, SSRF | Uzak Kod Yürütme, Dosya Yükleme |
| Etkilenen ürün | Xerox FreeFlow Core | Xerox FreeFlow Core |
| Güvenlik Açığı Türü | XML dış varlık (XXE) enjeksiyonu | Yolun geçişi |
| Yamalı versiyon | 8.0.5 | 8.0.5 |
Her iki güvenlik açığı, saldırganların herhangi bir kimlik doğrulama gereksinimi olmadan uzaktan kod yürütülmesine izin verir, bu da onları internete bakan kurulumlar için özellikle tehlikeli hale getirir.
Keşif, Horizon3.ai’nin Nodezero platformunun, savunmasız yazılımı içermediği bir ana bilgisayardan XXE sömürü geri çağrıları algıladığı alışılmadık bir müşteri destek talebinden kaynaklandı.
Bu anomali, sonuçta FreeFlow çekirdek kurulumlarındaki yaygın kırılganlığı ortaya çıkaran daha derin bir araştırma başlattı.
Teknik analiz ve etki
Freeflow Core, büyük ölçekli baskı operasyonlarını ele alan ticari baskı mağazalarına, ambalaj sağlayıcılarına, üniversitelere ve devlet kurumlarına konuşlandırılan kapsamlı bir baskı düzenleme platformu olarak hizmet vermektedir.
Platformun karmaşık mimarisi, 4004 numaralı bağlantı noktasındaki JMF istemci hizmeti birincil saldırı vektörüdür.
XXE enjeksiyon güvenlik açığı, JMF (iş mesajı formatı) mesaj işleme sisteminde uygunsuz XML ayrıştırma işlemlerinden yararlanır.
Saldırganlar, sunucu tarafı isteği amorgery saldırıları ve erişime duyarlı sistem bilgilerini gerçekleştirmek için kötü niyetli XML istekleri gönderebilir.
Daha eleştirel olarak, dosya işleme mekanizmasındaki yol geçiş kusuru, saldırganların web kabuklarını herkese açık olarak erişilebilir dizinlere yüklemelerine olanak tanır ve tehlikeye atılan sistemlere anında uzaktan erişim sağlar.
Bu güvenlik açıklarının kombinasyonu, özellikle baskı iş akışlarının genellikle serbest bırakma öncesi pazarlama materyalleri ve hassas kurumsal bilgiler içerdiği göz önüne alındığında, siber suçlular için özellikle cazip bir hedef oluşturur.
Platformun nispeten açık ağ erişimi gereksinimi, riske maruz kalmayı daha da artırır.
Xerox, Haziran 2025’te Horizon3.Ai tarafından başlatılan sorumlu bir açıklama sürecinin ardından 8 Ağustos 2025’te yayınlanan Freeflow Core sürüm 8.0.5’teki her iki güvenlik açıkına da değinmiştir.
Şirket, halka açık serbest bırakılmadan önce yamalar geliştirmek ve test etmek için iki ay boyunca araştırmacılarla işbirliği içinde çalıştı.
FreeFlow Core’u çalıştıran kuruluşların hemen 8.0.5 sürümüne yükseltme çağrısı yapılır.
Kamuoyunun kavram kanıtı istismarlarının kullanılabilirliği ve güvenlik açıklarının ciddiyeti göz önüne alındığında, yamayı geciktirmek tam sistem uzlaşmasına neden olabilir.
Açıklama zaman çizelgesi, Haziran ayında ilk temas, Temmuz ayı boyunca güvenlik açığı onayı ve yama gelişimi ile sektörde en iyi uygulamaları göstermektedir ve Ağustos ayında kamu açıklamasını koordine etmektedir.
Bu ölçülen yaklaşım, Xerox’un kapsamlı düzeltmeler geliştirmesi için yeterli süreye izin verirken, güvenlik topluluğunun risklerin zamanında bildirilmesini sağladı.
Güvenlik ekipleri, savunmasız FreeFlow çekirdek kurulumları için taramaya öncelik vermeli ve acil yükseltmelerin mümkün olmadığı acil durum yamaları uygulamalıdır.
AWS Security Services: 10-Point Executive Checklist - Download for Free