Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Cisa, Sitecore RCE kusurları konusunda uyarıyor; Aktif istismarlar Next.js ve Draytek Cihazları
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Cisa, Sitecore RCE kusurları konusunda uyarıyor; Aktif istismarlar Next.js ve Draytek Cihazları

GenelSiber Güvenlik

Cisa, Sitecore RCE kusurları konusunda uyarıyor; Aktif istismarlar Next.js ve Draytek Cihazları

teknomers
Son güncelleme: 27 Mart 2025 09:59
teknomers
Paylaş
Paylaş


27 Mart 2025Ravie LakshmananGüvenlik Açığı / Tehdit İstihbaratı

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) eklemek Sitecore CMS ve Experience Platformunu (XP) etkileyen iki altı yaşındaki güvenlik kusuru, bilinen sömürülen güvenlik açıklarına (Kev) aktif sömürü kanıtlarına dayanarak katalog.

Güvenlik açıkları aşağıda listelenmiştir –

  • CVE-2019-9874 (CVSS Puanı: 9.8) – Sitecore.security.anticsrf modülü, kimlik doğrulanmamış bir saldırganın HTTP post parametresinde serileştirilmiş bir .NET nesnesi __csrftoken
  • CVE-2019-9875 (CVSS Puanı: 8.8) – Sitecore.security.anticsrf modülü, kimlik doğrulamalı bir saldırganın HTTP post parametresine serileştirilmiş bir .NET nesnesi göndererek keyfi kod yürütmesine izin veren bir fasilileştirme kırılganlığı

Şu anda 30 Mart 2020’de paylaşılan bir güncellemede Sitecore’a rağmen, kusurların vahşi ve kim tarafından nasıl silahlandırıldığına dair hiçbir ayrıntı yok. söz konusu CVE-2019-9874’ün “aktif sömürüsünün farkında” oldu. Şirket Bahsetmez CVE-2019-9875’ten sömürülüyor.

Aktif sömürü ışığında, federal ajansların ağlarını güvence altına almak için 16 Nisan 2025 yılına kadar gerekli yamaları uygulamaları gerekmektedir.

Geliştirme, Akamai’nin bir sonraki.JS web çerçevesini (CVE – 2025-29927, CVSS puanı: 9.1) etkileyen yeni açıklanan bir güvenlik kusuru için potansiyel sunucuları araştıran ilk istismar girişimlerini gözlemlediğini söyledi.

Yetkilendirme Bypass güvenlik açığı, başarılı bir sömürü, bir saldırganın dahili istek akışlarını yönetmek için kullanılan “X-Middleware-Sebrequest” adlı bir başlığı taklit ederek ara katman yazılımı tabanlı güvenlik kontrollerini aşmasına izin verebilir. Bu da, hassas uygulama kaynaklarına yetkisiz erişim sağlayabilir, CheckMarx’tan Raphael Silva söz konusu.

“Belirlenen yükler arasında, dikkate değer bir teknik, X-Middleware-Regerest başlığını SRC/Middleware: SRC/Middleware: SRC/Middleware: SRC/Middleware,” ile kullanmayı içerir. Web Altyapı Şirketi söz konusu.

“Bu yaklaşım, tek bir istek içinde birden fazla dahili alt pençeyi simüle ederek Next.JS’nin dahili yönlendirme mantığını tetikler – kamuya açık birkaç Konsept Kanıtı istismarları. “

Açıklamalar ayrıca bir uyarı Draytek cihazlarındaki bilinen birkaç güvenlik açıkına karşı kaydedilen aktif sömürü denemeleri hakkında Greynoise’den.

Tehdit istihbarat firması, aşağıdaki CVE tanımlayıcılarına karşı wild içinde gözlemlendiğini gördüğünü söyledi-

  • CVE-2020-8515 (CVSS Puanı: 9.8)-Bir işletim sistemi komutu enjeksiyon enjeksiyonu, birden fazla draytek yönlendirici modelinde, CGI-bin/mainfonction.cgi uri’ye kabuk metacharacters üzerinden uzaktan kod yürütülmesine izin verebilecek
  • CVE-2021-20123 (CVSS Puanı: 7.5) – Draytek Vigorconnect’te, kimliği doğrulanmamış bir saldırganın altta yatan işletim sisteminden rastgele dosyaları indirmesine izin verebilecek yerel bir dosya içerme güvenlik açığı
  • CVE-2021-20124 (CVSS Puanı: 7.5) – Draytek Vigorconnect’te, kimlik doğrulanmamış bir saldırganın temel işletim sisteminden WebServlet Uç Noktası aracılığıyla kök ayrıcalıkları ile keyfi dosyaları indirmesine izin verebilecek yerel bir dosya içerme güvenlik açığı

Endonezya, Hong Kong ve Amerika Birleşik Devletleri, CVE-2020-8515 için saldırı trafiğinin en iyi hedef ülkeleri olarak ortaya çıkarken, Litvanya, ABD ve Singapur, CVE-2021-20123 ve CVE-2021-20124’ten yararlanan saldırıların bir parçası olarak seçildi.



siber-2

Fake işten çıkarılan Twitter çalışanı ‘Rahul Ligma’ gerçek bir mühendis ve Harvard tarafından kullanılan bir AI veri girişimi var.
Yapay Zeka İşten Çıkarmaları Patlama Noktasına Geliyor
PS5 Ne Kadar Gürültülü? İşte Sonuçlarımız Ne Diyor?
Mercedes-Benz, ChatGPT ses kontrolünü arabalarına getiriyor
Adobe, ChatGPT ile AI Gücüyle Photoshop ve PDF Düzenlemeye Dönüşüyor!
ETİKETLENDİ:ağ güvenliğiAktifbilgi Güvenliğibilgisayar Güvenliğibugün siber güvenlik haberlericihazlarıCISADrayTekFidye Yazılımları Kötü Yazılımhacker haberlerihacking newsİstismarlarkonusundakusurlarınasıl hacklenirNext.jsRCEsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber Haberlersiber saldırılarSitecoreuyarıyorveri ihlaliyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Tam Avengers: Doomsday Cast burada
Sonraki Makale Kral Galaxy S25 Ultra Amazon Bahar Satışı sırasında karşı konulmaz bir satın alma oldu

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Eylem Sınıfları: O basit yapı, o dev hizmetin yerini alıyor.
Yazılım
Laravel Otomatik Yükleyici – Geliştirici Topluluğu
Yazılım
ChatGPT Bir Nesli Susturuyor Mu?
Liste
Jurassic Park’taki 1993 Donanımlar – Yazılımcı Her Parçayı Listeliyor
Donanım
30 Saniyede Temiz Mimari ile Tam Laravel API, Testler Dahil
Yazılım
RTX 3080’e 11 fan ve 360mm AIO takmak: 30°C sıcaklık düşüşü
Donanım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?