aEnrich Teknolojisinden a+HRD'deki Kritik Güvenlik Açıkları: Güvensiz Serileştirme, SQL Enjeksiyonu, SSRF ve XSS
aEnrich Technology'den a+HRD uygulaması yakın zamanda önemli güvenlik riskleri oluşturan birden fazla güvenlik açığıyla tanımlandı. Bu güvenlik açıkları arasında Güvensiz Serileştirme , SQL Enjeksiyonu , Sunucu Tarafı İstek Sahteciliği (SSRF) ve Yansıtılmış Siteler Arası Komut Dosyası (XSS) yer alır . Her güvenlik açığı saldırganların sistemi farklı şekillerde istismar etmesine olanak tanır ve bu da olası yetkisiz erişime ve veri manipülasyonuna yol açar.
Bir saldırgan uygulamaya erişim sağlar ve sunucuya gönderilen serileştirilmiş verileri değiştirir. Kötü amaçlı yükler oluşturarak, keyfi komutlar yürütebilir ve bu da tam sistem güvenliği ihlaline yol açabilir.
Bir saldırgan, SQL enjeksiyon yüklerini içeren özel olarak hazırlanmış istekler gönderir. Bu, kimlik doğrulama mekanizmalarını atlatmalarına ve veritabanından hassas kullanıcı verilerini çıkarmalarına veya mevcut kayıtları değiştirmelerine olanak tanır.
Bir saldırgan, genel internete açık olmayan dahili hizmetlerle etkileşim kurmalarına izin veren istekler göndererek bu güvenlik açığından yararlanır. Bu, dahili sistemlere yönelik daha fazla saldırıya veya veri sızıntısına yol açabilir.
Bir saldırgan, bu XSS güvenlik açığından yararlanan bir bağlantı içeren bir e-posta gönderir. Bir kullanıcı bağlantıya tıkladığında, tarayıcısında kötü amaçlı JavaScript çalıştırılır ve saldırganın çerezleri çalmasına veya onları bir kimlik avı sitesine yönlendirmesine olanak tanır.
CVE-2025-0586: Güvenli Olmayan Seriden Çıkarma
- Açıklama : Bu güvenlik açığı, veritabanı değiştirme ayrıcalıklarına sahip uzak saldırganların, güvenilmeyen verilerin güvenli olmayan şekilde seri hale getirilmesi yoluyla keyfi kod yürütmesine olanak tanır.
- Etkisi : Saldırganlar, sunucuda kötü amaçlı kod çalıştırmak için seri hale getirilmiş nesneleri manipüle edebilir ve bu da tüm sistemi tehlikeye atabilir.
- Şiddet : CVSS puanı 7.2 ile Yüksek olarak derecelendirilmiştir .
- Yayım Tarihi : 19 Ocak 2025.
Bir saldırgan uygulamaya erişim sağlar ve sunucuya gönderilen serileştirilmiş verileri değiştirir. Kötü amaçlı yükler oluşturarak, keyfi komutlar yürütebilir ve bu da tam sistem güvenliği ihlaline yol açabilir.
CVE-2025-0585: SQL Enjeksiyonu
- Açıklama : Bu kritik güvenlik açığı, kimliği doğrulanmamış uzak saldırganların veritabanına keyfi SQL komutları enjekte etmesine olanak tanıyarak, verileri okumalarına, değiştirmelerine ve silmelerine olanak tanır.
- Etkisi : Başarılı bir istismar, hassas bilgilere yetkisiz erişime ve veritabanı üzerinde tam kontrole yol açabilir.
- Şiddet : CVSS puanı 9.8 ile Kritik olarak derecelendirildi .
- Yayım Tarihi : 19 Ocak 2025.
Bir saldırgan, SQL enjeksiyon yüklerini içeren özel olarak hazırlanmış istekler gönderir. Bu, kimlik doğrulama mekanizmalarını atlatmalarına ve veritabanından hassas kullanıcı verilerini çıkarmalarına veya mevcut kayıtları değiştirmelerine olanak tanır.
CVE-2025-0584: Sunucu Tarafı İstek Sahteciliği (SSRF)
- Açıklama : Bu güvenlik açığı, kimliği doğrulanmamış uzak saldırganların sunucudan hazırlanmış istekler göndererek dahili ağları araştırmasına olanak tanır.
- Etkisi : Saldırganlar dahili hizmetlere ilişkin bilgi edinebilir veya dahili ağdaki diğer güvenlik açıklarından yararlanabilir.
- Şiddet : CVSS puanı ile Orta olarak derecelendirilmiştir 5.3 olarak derecelendirilmiştir .
- Yayınlanma Tarihi : 19 Ocak 2025.
Bir saldırgan, genel internete açık olmayan dahili hizmetlerle etkileşim kurmalarına izin veren istekler göndererek bu güvenlik açığından yararlanır. Bu, dahili sistemlere yönelik daha fazla saldırıya veya veri sızıntısına yol açabilir.
CVE-2025-0583: Yansıtılan Siteler Arası Komut Dosyası (XSS)
- Tanım : Bu güvenlik açığı, kimliği doğrulanmamış uzak saldırganların kimlik avı saldırıları yoluyla kullanıcıların tarayıcılarında keyfi JavaScript kodu yürütmesine olanak tanır.
- Darbe : Saldırganlar, kullanıcılar tarafından tıklandığında tarayıcılarında JavaScript çalıştıran ve potansiyel olarak veri hırsızlığına veya oturum ele geçirmeye yol açabilen kötü amaçlı bağlantılar oluşturabilir.
- Şiddet : 6.1 CVSS puanı ile Orta olarak derecelendirildi olarak derecelendirilmiştir .
- Yayınlanma Tarihi : 19 Ocak 2025.
Bir saldırgan, bu XSS güvenlik açığından yararlanan bir bağlantı içeren bir e-posta gönderir. Bir kullanıcı bağlantıya tıkladığında, tarayıcısında kötü amaçlı JavaScript çalıştırılır ve saldırganın çerezleri çalmasına veya onları bir kimlik avı sitesine yönlendirmesine olanak tanır.