Orca HCM'deki Kritik Güvenlik Açıkları
CVE-2025-1388 ve CVE-2025-1387, Learning Digital tarafından geliştirilen Orca HCM yazılımında bulunan kritik güvenlik açıklarıdır. Bu güvenlik açıkları, sisteme yetkisiz erişim ve kontrol sağladığı için bu yazılımı kullanan kuruluşlar için önemli riskler oluşturur. (16 Şubat 2025)
CVE-2025-1388, düzenli ayrıcalıklara sahip uzak saldırganların web kabukları gibi kötü amaçlı dosyaları sunucuya yüklemesine olanak tanıyan bir Arbitrary File Upload güvenlik açığı olarak sınıflandırılmıştır. Bu güvenlik açığı, Orca HCM'nin 10.x'e kadar olan sürümlerini etkiler ve yüksek bir ciddiyet seviyesini gösteren 8,8'lik bir CVSS puanı ile derecelendirilmiştir . Sınırlandırılmamış yükleme yeteneği, etkilenen sistemlerin gizliliği, bütünlüğü ve kullanılabilirliği için ciddi sonuçlara yol açabilir.
Bu güvenlik açığının istismarı, saldırganların sunucuda keyfi kod yürütmesine izin verebilir ve bu da potansiyel olarak veri ihlallerine, hassas bilgilere yetkisiz erişime ve hizmet kesintilerine yol açabilir. Güvenlik açığının istismarının kolay olduğu düşünülüyor ve bu da henüz 11.0 veya sonraki sürüme yükseltme yapmamış kuruluşlar için önemli bir endişe kaynağı haline geliyor .
Temel erişim ayrıcalıklarına sahip bir saldırgan, bir görüntü olarak gizlenmiş kötü amaçlı bir PHP dosyası yükleyerek bu güvenlik açığından yararlanabilir. Yüklendikten sonra saldırgan dosyayı uzaktan çalıştırabilir, sunucu üzerinde tam kontrol elde edebilir ve uygulama içinde depolanan hassas verilere erişebilir.
CVE-2025-1387, Uygunsuz Kimlik Doğrulama güvenlik açığı olarak sınıflandırılır. Kimliği doğrulanmamış uzak saldırganların, uygun kimlik bilgileri olmadan herhangi bir kullanıcı olarak sisteme giriş yapmasına olanak tanır. Bu güvenlik açığı ayrıca Orca HCM'nin 11.0'dan önceki sürümlerini de etkiler ve kritik olarak işaretlenen 9.8'lik bir CVSS puanı atanmıştır .
Bu kusur, saldırganların kimlik doğrulama mekanizmalarını tamamen atlatmasına olanak tanır ve bu da kullanıcı hesaplarına ve hassas bilgilere yetkisiz erişime yol açabilir. Saldırganlar meşru kullanıcıları veya yöneticileri taklit ederek sistem güvenliğini daha da tehlikeye atabileceğinden kötüye kullanım potansiyeli yüksektir.
Bir saldırgan, kimlik doğrulama mekanizmasını istismar eden hazırlanmış istekler göndererek bu güvenlik açığından yararlanabilir. Bunu yaparak, geçerli kimlik bilgilerine ihtiyaç duymadan yönetimsel işlevlere ve hassas verilere anında erişim sağlayabilir.
Orca HCM kullanan kuruluşların derhal harekete geçmeleri şiddetle tavsiye edilir:
: Her iki güvenlik açığı için de 11.0 veya sonraki sürüme güncelleme yapın.
: İstismar girişimlerini gösterebilecek olağandışı faaliyetleri tespit etmek için izleme çözümlerini uygulayın.
:Sistemlerindeki potansiyel güvenlik açıklarını tespit etmek için düzenli güvenlik değerlendirmeleri ve denetimleri gerçekleştirin.
Bu güvenlik açıklarını derhal ele alarak kuruluşlar riske maruz kalma durumlarını önemli ölçüde azaltabilir ve hassas verilerini olası tehditlerden koruyabilirler.