Güvenlik Açıkları ve Önemi
Fortinet, Ivanti ve SAP, kritik güvenlik açıklarını gideren güncellemeler yayınladı. Bu açıklar, yetkisiz kod yürütme ve bilgi sızdırma potansiyeline sahip olduğundan, kullanıcıların sistemlerini güncel tutması hayati önem taşımaktadır.
Saldırı Nasıl Çalışıyor?
Fortinet’in yamanan güvenlik açığı, CVE-2026-25089 kodu ile takip edilen bir komut enjeksiyonu açığıdır ve CVSS skoru 9.1 ‘dir. Bu açık, FortiSandbox, FortiSandbox Cloud ve FortiSandbox PaaS WEB UI’de, kötü niyetli bir kullanıcının özel olarak hazırlanmış HTTP istekleriyle yetkisiz komutları çalıştırmasına olanak tanımaktadır.
Etkilenen Sistemler
Aşağıdaki ürünler ve versiyonlar bu güvensizlikten etkilenmektedir:
- FortiSandbox 5.0.0 ile 5.0.5 (5.0.6 veya üzeri sürüme yükseltin)
- FortiSandbox 4.4.0 ile 4.4.8 (4.4.9 veya üzeri sürüme yükseltin)
- FortiSandbox Cloud 5.0.4 ile 5.0.5 (5.0.6 veya üzeri sürüme yükseltin)
- FortiSandbox PaaS 5.0.4 ile 5.0.5 (5.0.6 veya üzeri sürüme yükseltin)
Ivanti Güvenlik Açıkları
Ivanti, CVE-2026-10520 ve CVE-2026-10523 kodlu iki kritik açığı gidermek amacıyla güncellemeler yayınlamıştır:
- CVE-2026-10520 (CVSS skoru: 10.0) – R10.5.2, R10.6.2 ve R10.7.1 sürümleri öncesinde, uzaktan yetkisiz kullanıcıların kök düzeyinde kod yürütmesine olanak tanıyan bir komut enjeksiyonu açığı.
- CVE-2026-10523 (CVSS skoru: 9.9) – R10.5.2, R10.6.2 ve R10.7.1 sürümleri öncesinde, uzaktan yetkisiz saldırganların keyfi yönetici hesapları oluşturmasına izin veren bir kimlik doğrulama atlatma açığı.
Bu açıklar, saldırganların belirli bir HTTP isteği göndererek sistemdeki kritik bileşenlerin kontrolünü ele geçirmesine olanak sağlamaktadır.
SAP Güvenlik Güncellemeleri
SAP, NetWeaver AS ABAP ve ABAP Platformu, SAP Commerce Cloud ve SAP Data Hub’da dört kritik açığı gidermek için güncellemeler yayınlamıştır:
- CVE-2026-44748 (CVSS skoru: 9.9) – SAP NetWeaver AS ABAP ve ABAP Platformu’ndaki SAML kimlik doğrulamasında XML imzası sarma açığı.
- CVE-2026-27671 (CVSS skoru: 9.8) – SAP NetWeaver ve ABAP Platformunun Uygulama Sunucusundaki bellek bozulması açığı.
- CVE-2026-22732 (CVSS skoru: 9.1) – SAP Commerce Cloud ve SAP Data Hub’da potansiyel Spring güvenlik açığı.
- CVE-2026-40128 (CVSS skoru: 9.0) – SAP NetWeaver Uygulama Sunucusu Java’daki dizin geçişi açığı.
Çözüm ve Korunma
Güncel güvenlik açıklarından korunmak için şunları yapmalısınız:
- İlgili sistemlerinizi en son sürümlere güncelleyin.
- Yetkisiz erişimlere karşı güvenlik duvarlarınızı gözden geçirin.
- Varsayılan ayarları değiştirdiğinizden emin olun ve güçlü şifre politikaları uygulayın.
Sonuç
Kritik güvenlik açıklarının giderilmesi için, geçerli sürümlere güncellemelerinizi acilen gerçekleştirin ve gerekli önlemleri alın. Sistemlerinizi her zaman güncel tutarak güvenlik risklerini en aza indirin.
