VMware Tools ve CrushFTP’de Yeni Güvenlik Açıkları Keşfedildi — Yüksek Risk, Çözüm Yok
Broadcom, VMware Tools for Windows’ta kimlik doğrulama atlamasına yol açabilecek yüksek önem derecesine sahip bir güvenlik açığını gidermek için güvenlik yamaları yayınladı.
CVE-2025-22230: VMware Tools Güvenlik Açığı
CVE-2025-22230 olarak izlenen güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 10 üzerinden 7.8 olarak derecelendirildi.
Broadcom, Salı günü yayımladığı uyarıda, “Windows için VMware Tools, hatalı erişim kontrolü nedeniyle bir kimlik doğrulama atlama güvenlik açığı içeriyor” dedi. “Windows misafir sanal makinesinde yönetici olmayan ayrıcalıklara sahip bir saldırgan, bu sanal makine içinde belirli yüksek ayrıcalıklı işlemleri gerçekleştirme yeteneği kazanabilir.”
Güvenlik açığını keşfeden ve raporlayan kişi, Rus siber güvenlik şirketi Positive Technologies’ten Sergey Bliznyuk olarak belirtildi.
CVE-2025-22230, Windows için VMware Tools’un 11.x.x ve 12.x.x sürümlerini etkiliyor. Sorun, 12.5.1 sürümünde düzeltilmiştir. Ancak, bu açığı giderecek herhangi bir geçici çözüm bulunmamaktadır.
CrushFTP Yeni Bir Güvenlik Açığını Açıkladı
Bu gelişmeye ek olarak, CrushFTP, kimliği doğrulanmamış HTTP(S) bağlantı noktası erişimi ile ilgili bir güvenlik açığını müşterilerine bildirdi. CrushFTP sürüm 10 ve 11’i etkileyen bu açık henüz bir CVE kimliği almamıştı.
Şirket, “Bu sorun CrushFTP v10/v11’i etkiliyor, ancak CrushFTP’nin DMZ işlevini kullanıyorsanız çalışmıyor” dedi. “Bu güvenlik açığı sorumlu bir şekilde ifşa edildi ve şu ana kadar aktif olarak istismar edildiğine dair bir bilgimiz yok. Daha fazla ayrıntı şu an için paylaşılmayacak.”
Siber güvenlik şirketi Rapid7’nin paylaştığı bilgilere göre, güvenlik açığının başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış erişime neden olabilir. Bu, özellikle internete açık HTTP(S) portları bulunan sistemler için büyük bir risk oluşturuyor.
VMware ve CrushFTP’de daha önce keşfedilen güvenlik açıklarının kötü niyetli aktörler tarafından istismar edildiği göz önüne alındığında, kullanıcıların en kısa sürede güncellemeleri uygulaması hayati önem taşıyor.
Güncelleme 📢
CrushFTP’yi etkileyen güvenlik açığına CVE-2025-2825 kimliği atandı. CVSS skoru 10 üzerinden 9.8 olarak belirlenerek kritik önem derecesinde olduğu vurgulandı.
“CrushFTP 10.0.0 – 10.8.3 ve 11.0.0 – 11.3.0 sürümleri, kimliği doğrulanmamış erişime yol açabilecek bir güvenlik açığından etkilenmektedir.”
“Uzaktan ve kimliği doğrulanmamış HTTP istekleri, saldırganların CrushFTP sistemlerine yetkisiz erişim sağlamasına neden olabilir.”
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment