Giriş
Mozilla, Firefox tarayıcısında kritik öneme sahip iki güvenlik açığının düzeltildiğini duyurdu. Bu açıkların, exploit kodlarının yayınlanmasıyla tehdit oluşturmaya başladığı belirtilmekte.
Saldırı Nasıl Çalışıyor?
Güvenlik açıkları şunlardır:
- CVE-2026-15718: JavaScript WebAssembly bileşeninde geçersiz bir işaretçi
- CVE-2026-15719: DOM Navigasyon bileşeninde site izolasyonu
Mozilla’nın açıklamasına göre, bu açıklarla ilgili bilinen herhangi bir siber saldırı olmadığını belirtse de, exploit kodlarının kamuya yayımlandığına dikkat çekmiştir. Her iki açık da Firefox’un 152.0.6 sürümünde kapatılmıştır.
Etkilenen Sistemler
Bu güncellemeler, yalnızca Firefox için değil, aynı zamanda Google Chrome’da da bazı kritik güvenlik açıklarının bulunduğunu göstermektedir. Google, Ozone bileşeninde iki kritik ‘use-after-free’ hatası için çözümler sunmuştur:
- CVE-2026-15764
- CVE-2026-15765
Bu açıklar, belirli kullanıcı etkileşimleri ile uzaktan bir saldırganın heap bozulması sağlaması riski taşımaktadır. Chrome’daki bu açıklar, 150.0.7871.124/125 sürümlerinde düzeltilmiştir.
Adobe Güvenlik Güncellemeleri
Adobe, 88 güvenlik açığı için güncellemeler yayınlamış ve bunlar arasında birkaç kritik seviye açık da bulunmaktadır. Özellikle Adobe ColdFusion için aşağıdaki kritik açıklar tespit edilmiştir:
- CVE-2026-48318: Pozitif yol geçişine neden olan bir zafiyet (CVSS skor: 9.9)
- CVE-2026-48322: Kod enjeksiyonu zafiyeti (CVSS skor: 9.6)
- CVE-2026-48284: Geçersiz giriş doğrulama zafiyeti (CVSS skor: 9.6)
- CVE-2026-48321: Yanlış yetkilendirme zafiyeti (CVSS skor: 9.3)
- CVE-2026-48325: Kritik bir işlev için eksik kimlik doğrulama (CVSS skor: 9.3)
- CVE-2026-48319: Pozitif yol geçişi zafiyeti (CVSS skor: 9.1)
- CVE-2026-48324: SQL enjeksiyonu zafiyeti (CVSS skor: 9.1)
- CVE-2026-48327: Yanlış yetkilendirme zafiyeti (CVSS skor: 9.0)
ColdFusion 2025 Update 11 ve ColdFusion 2023 Update 22 sürümleri ile bu açıklar kapatılmıştır.
Çözüm ve Korunma
Özellikle Adobe Commerce, Magento Open Source ve Adobe Experience Manager için de kritik açıklar bulunmaktadır:
- CVE-2026-48356: Dosya yükleme zafiyeti (CVSS skor: 9.6)
- CVE-2026-48358: Çıktının yanlış kodlanması veya kaçırılması zafiyeti (CVSS skor: 9.1)
- CVE-2026-48259: Sunucu taraflı istek sahtekarlığı zafiyeti (CVSS skor: 9.6)
- CVE-2026-48359: XML dış varlık referansı zafiyeti (CVSS skor: 9.6)
Ayrıca, Broadcom, VMware Avi Load Balancer için CVE-2026-47865 kodlu bir kimlik doğrulama atlama zafiyetinin düzeltildiğini açıklamıştır (CVSS skor: 9.8).
Aksiyon
Tüm bu açıkların aktif olarak kullanılmadığı belirtilse de, organizasyonların en son güncellemeleri yüklemesi önemlidir. Tarayıcı ve yazılım güncellemelerinizi yapın, gerekirse güvenlik duvarı ayarlarınızı gözden geçirin ve kritik sistemlerde port kapatma işlemleri uygulayın.


