ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tehdit aktörlerinin CentOS Web Panelindeki (CWP) kritik bir uzaktan komut yürütme kusurundan yararlandığı konusunda uyarıyor.
Kurum, bu güvenlik açığını Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve federal kuruluşlara BOD 22-01 kılavuzuna tabi olarak 25 Kasım'a kadar mevcut güvenlik güncellemelerini ve satıcı tarafından sağlanan azaltıcı önlemleri uygulamaları veya ürünü kullanmayı bırakmaları için izin veriyor.
CVE-2025-48703 olarak izlenen güvenlik sorunu, bir CWP örneğinde geçerli bir kullanıcı adı bilgisi olan uzak, kimliği doğrulanmamış saldırganların bu kullanıcı olarak rastgele kabuk komutları yürütmesine olanak tanır.
CWP, Linux sunucu yönetimi için kullanılan, cPanel ve Plesk gibi ticari panellere açık kaynaklı bir alternatif olarak pazarlanan ücretsiz bir web barındırma kontrol panelidir. Web barındırma sağlayıcıları, sistem yöneticileri ve VPS veya özel sunucu operatörleri tarafından yaygın olarak kullanılır.
Sorun, 0.9.8.1204'ten önceki tüm CWP sürümlerini etkilemektedir ve Haziran ayı sonlarında Fenrisk güvenlik araştırmacısı Maxime Rinaudo tarafından CentOS 7'de gösterilmiştir.
Ayrıntılı bir teknik yazıda araştırmacı, kusurun temel nedeninin, kullanıcı başına tanımlayıcı atlandığında bile dosya yöneticisi 'changePerm' uç nokta isteklerini işlemesi olduğunu ve kimliği doğrulanmamış isteklerin oturum açmış bir kullanıcıyı bekleyen koda erişmesine izin verdiğini açıklıyor.
Ayrıca, chmod sistem komutunda bir dosya izin modu olarak çalışan 't_total' parametresi, bir kabuk komutuna temizlenmeden aktarılarak kabuk enjeksiyonuna ve rastgele komut yürütülmesine olanak tanır.
Rinaudo'nun istismarında, dosya yöneticisi changePerm uç noktasına, hazırlanmış bir t_total ile yapılan bir POST isteği, bir kabuk komutu enjekte eder ve hedef kullanıcı olarak bir ters kabuk oluşturur.
Araştırmacı, kusuru 13 Mayıs'ta CWP'ye bildirdi ve 18 Haziran'da ürünün 0.9.8.1205 sürümünde bir düzeltme yayınlandı.
Dün CISA, kusurun nasıl kullanıldığı, hedefler veya kötü amaçlı etkinliğin kaynağı hakkında herhangi bir ayrıntı paylaşmadan kusuru KEV kataloğuna ekledi.
Ajans ayrıca Gladinet CentreStack ve Triofox ürünlerinde yerel bir dosya ekleme kusuru olan CVE-2025-11371'i kataloğa ekledi ve federal kurumlara ürüne yama yapmaları veya ürünün kullanımını durdurmaları için aynı 25 Kasım son tarihini verdi.
Bu kusur, 10 Ekim'de Huntress tarafından aktif olarak kullanılan bir sıfır gün olarak işaretlendi ve satıcı, dört gün sonra 16.10.10408.56683 sürümünde bu kusuru yamaladı.
CISA'nın KEV'si ABD'deki federal kurumları hedef alsa bile, herhangi bir kuruluş bunu izlemeli ve içerdiği güvenlik açıklarıyla mücadeleye öncelik vermelidir.
MCP (Model Bağlam Protokolü), LLM'leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.
CISA, federallere saldırılarda kullanılan Windows Server WSUS kusurunu düzeltme emri verdi
CISA: Yüksek önem derecesine sahip Linux kusuru artık fidye yazılımı çeteleri tarafından kullanılıyor
CISA, saldırılarda kullanılan Lanscope Endpoint Manager kusuru konusunda uyardı
Windows Server'daki kritik WSUS kusuru artık saldırılarda kullanılıyor
84.000'den fazla Roundcube örneği aktif olarak istismar edilen kusurlara karşı savunmasız
Kaynak: Bleeping Computer