CISA Uyarıyor: Adobe, Joomla ve Langflow’da Kritik Güvenlik Zafiyetleri

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), teknoloji dünyasını yakından ilgilendiren önemli bir duyuruyla, **kritik güvenlik zafiyetlerini** içeren dört yeni maddeyi Aktif Olarak Sömürülen Zafiyetler (KEV) kataloğuna ekledi. Bu karar, Adobe ColdFusion, Joomla tabanlı Page Builder CK ve SP Page Builder ile yapay zeka araçları geliştirmek için kullanılan Langflow platformlarında tespit edilen açıklıkların hali hazırda siber saldırganlar tarafından aktif olarak kullanıldığına dair somut kanıtlara dayanıyor. Siber tehditlerin ciddiyeti ve potansiyel zararı göz önüne alındığında, ilgili sistemlerin yöneticileri için acil eylem çağrısı yapılıyor.
CISA’nın KEV Kataloğu ve Siber Tehditlerin Yükselişi
CISA, ABD’nin kritik altyapısını ve siber güvenliğini koruma misyonuyla hareket eden öncü bir kurumdur. Bu kurumun yayınladığı Aktif Olarak Sömürülen Zafiyetler (KEV) kataloğu, siber güvenlik dünyası için bir rehber niteliği taşır. KEV listesi, dünya genelinde siber saldırganlar tarafından aktif olarak hedef alınan ve kötüye kullanılan güvenlik açıklarını içerir. Bu listeye bir zafiyetin eklenmesi, ilgili yazılım veya sistem kullanıcıları için acil bir uyarı anlamına gelir; zira bu açıklar, yalnızca teorik riskler olmaktan çıkıp, gerçek dünya saldırılarında kullanıldığı kanıtlanmış tehditlerdir.
KEV kataloğuna eklenen her yeni madde, kuruluşlara ve sistem yöneticilerine hızla harekete geçme ve güvenlik açıklarını yamalama, hafifletme veya etkisiz hale getirme sorumluluğunu yükler. Geçtiğimiz günlerde listeye eklenen Adobe ColdFusion, iki farklı Joomla sayfa oluşturucu eklentisi ve Langflow platformundaki dört zafiyet, bu aciliyetin somut bir örneğidir. Söz konusu açıklıkların her birinin, farklı siber aktörler tarafından kendi yöntemleriyle istismar edildiği belirlenmiştir. Bu durum, siber saldırıların çeşitliliğini ve güvenlik güncellemelerinin önemini bir kez daha ortaya koymaktadır.
Adobe ve Joomla Eklentilerindeki Yüksek Riskli Açıklıklar
CISA’nın KEV listesine eklediği zafiyetlerden biri olan CVE-2026-48282, Adobe ColdFusion platformunda bulunan kritik bir yol gezintisi (path traversal) açığıdır ve 10.0 gibi en yüksek CVSS puanına sahiptir. Bu zafiyet, saldırganların dosya sistemi içinde dizinler arasında gezinerek hassas dosyalara erişmesine veya mevcut kullanıcı bağlamında rastgele kod yürütmesine olanak tanır. Açığın kamuoyuna duyurulmasından sadece saatler sonra Hindistan merkezli bir IP adresinden sömürü girişimleri gözlemlenmiştir, bu da saldırganların yeni açıklıkları ne denli hızlı bir şekilde hedef aldığını göstermektedir.
Joomla ekosistemindeki iki önemli sayfa oluşturucu eklentisi de yüksek riskli zafiyetlerle dikkat çekiyor. CVE-2026-48908, JoomShaper SP Page Builder’daki tehlikeli dosya türlerinin kısıtlanmadan yüklenmesi sorunudur. Bu açık, kimliği doğrulanmamış kullanıcıların sisteme rastgele dosya yüklemesine ve nihayetinde PHP kodu çalıştırarak uzaktan kod yürütmesine (RCE) yol açar. Bu zafiyetin bir sıfırıncı gün (zero-day) açığı olarak kullanıldığı, HTTP POST isteğiyle özel bir uç noktaya (`index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon`) PHP dosyası yüklenerek yeni bir Süer kullanıcılarının 6.6.2 veya daha sonraki sürümlere güncellemeleri gerekmektedir.
Diğer Joomla tabanlı zafiyet olan CVE-2026-56290 ise Joomlack Page Builder’da yetkisiz erişim kontrolü problemidir ve bu da 10.0 CVSS puanına sahiptir. Bu açık, kimliği doğrulanmamış kişilerin rastgele dosya yüklemesi yoluyla uzaktan kod yürütmesine izin verir. Haziran 2026’dan bu yana aktif olarak sömürülen bu zafiyet, hassas sitelere web kabukları (web shell) yerleştirmek için kullanılmıştır. Gözlemlenen ilk web kabuklarından biri /media/com_pagebuilderck/gfonts/bhup.php yolunda bulunmuştur. Saldırganların hedef klasörü seçebilme yeteneği sebebiyle, sisteme sızdırılan dosyalar yalnızca bariz yükleme dizinlerinde değil, /images, /media, /templates ve /administrator gibi daha geniş dizinlerde de aranmalıdır. Bu sorun Page Builder CK sürüm 3.6.0’da giderilmiştir.
Langflow Hedefli Saldırılar ve Yetki Atlatma Mekanizması
Yapay zeka akışları oluşturmak için kullanılan Langflow platformu da CISA’nın radarına giren bir başka hedeftir. CVE-2026-55255 numaralı bu zafiyet, kullanıcı kontrollü bir anahtar aracılığıyla yetki atlatma (authorization bypass) olanağı sunar ve CVSS puanı 6.1 olarak belirtilmiştir. Bu açık, kimliği doğrulanmış bir saldırganın, kurbanın akış kimliğini belirterek başka bir kullanıcıya ait herhangi bir akışı yürütmesine izin veren bir dolaylı nesne referansı (IDOR) sorununa yol açar. Bu tür bir zafiyet, özellikle çok kullanıcılı ortamlarda ciddi gizlilik ve veri bütünlüğü riskleri taşır.
Bu Langflow zafiyeti, geçtiğimiz aylarda tek bir operatör tarafından yürütülen ve 22-25 Haziran 2026 tarihleri arasında devam eden sürekli bir kampanyanın parçası olarak gözlemlenmiştir. Saldırgan, 45.207.216.55 IP adresinden, Langflow’daki kimliği doğrulanmamış uzaktan kod yürütme açığı olan CVE-2026-33017 ile birlikte bu yetki atlatma zafiyetini (CVE-2026-55255) kullanmıştır. Gözlemler, operatörün üç gün önce araştırdığı internete açık bir Langflow örneğine geri döndüğünü ve sistemli bir oturum gerçekleştirdiğini ortaya koymuştur. Bu oturum; uygulama/kimlik doğrulama keşfi, akış numaralandırma, IDOR sömürüsü ve dışa bağlantı denemeleriyle birleştirilmiş sürekli bir RCE döngüsü adımlarını içermiştir. Bu aktivitenin fırsatçı bir doğaya sahip olduğu değerlendirilmektedir, yani belirli bir hedeften ziyade, savunmasız sistemleri tarayarak sömürü arayan bir model izlenmiştir.
Güvenlik Postürü: Acil Eylem ve Sürekli Korunma
CISA’nın KEV kataloğuna eklediği bu dört zafiyet, siber güvenlik dünyasında güncel kalmanın ve proaktif adımlar atmanın ne kadar hayati olduğunu bir kez daha hatırlatıyor. Adobe ColdFusion, Joomla eklentileri (SP Page Builder ve Page Builder CK) ve Langflow gibi yaygın olarak kullanılan platformlardaki bu kritik açıklıklar, yöneticiler için ciddi birer tehdit oluşturmaktadır. Bu tür aktif sömürülen zafiyetler, sadece veri kaybına değil, aynı zamanda sistemlerin ele geçirilmesine, kötü amaçlı yazılım dağıtımına ve daha geniş kapsamlı siber saldırılara zemin hazırlayabilir.
Kuruluşlar ve bireysel kullanıcılar için alınması gereken ilk ve en önemli önlem, ilgili yazılımları gecikmeden en güncel ve yamalı sürümlere yükseltmektir. SP Page Builder kullanıcıları 6.6.2 veya sonraki sürümlere, Page Builder CK kullanıcıları ise 3.6.0 sürümüne acilen geçmelidir. Adobe ColdFusion için yayınlanan güvenlik güncellemeleri de vakit kaybetmeden uygulanmalıdır. Langflow kullanıcılarının da platformlarının en güncel ve güvenli yapıda çalıştığından emin olmaları gerekir.
Yazılım güncellemelerinin yanı sıra, kapsamlı bir güvenlik stratejisinin benimsenmesi de zorunludur. Sistem yöneticilerinin, ağ trafiğini sürekli izlemesi, anormal davranışları ve şüpheli dosya yüklemelerini tespit etmek için güvenlik çözümlerini aktif olarak kullanması gerekir. Özellikle Joomla sitelerinde, makalede belirtilen potansiyel web kabuğu konumları (/media/com_pagebuilderck/, /images, /media, /templates, /administrator altında stray PHP dosyaları) düzenli olarak kontrol edilmelidir. Erişim kontrol mekanizmalarının gözden geçirilmesi ve yetki devirlerinin sıkı denetimi, bu tür yetki atlatma zafiyetlerine karşı ek bir savunma katmanı sağlar. Tüm bu adımlar, mevcut siber tehditlere karşı güçlü bir savunma hattı oluşturulmasına yardımcı olacaktır.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları