LuxCal Web Takvimi'nde birden fazla güvenlik açığı tespit edildi
LuxCal Web Takvimi, onu kullanan sistemlerin güvenliğini önemli ölçüde tehlikeye atabilecek birden fazla güvenlik açığıyla tanımlandı. Bu güvenlik açıkları 17 Şubat 2025'te açıklandı ve MySQL için 5.3.3M ve SQLite için 5.3.3L'den önceki sürümleri etkiliyor.
: Bu güvenlik açığı, sunucudaki keyfi dosyalara yetkisiz erişime izin veren eksik bir kimlik doğrulamasını içerir
dloader.php. Eğer istismar edilirse, bir saldırgan uygun kimlik doğrulaması olmadan sunucudan hassas bilgileri elde edebilir .: Bu, 'de de bulunan bir yol geçiş güvenlik açığıdır
dloader.php. CVE-2025-25224'e benzer şekilde, saldırganların sunucudaki keyfi dosyalara erişmesine olanak tanır ve bu da veri ihlallerine yol açabilir .: SQL enjeksiyonu güvenlik açığı bulundu
retrieve.php. Bu güvenlik açığı, saldırganların keyfi SQL sorguları yürütmesine olanak tanır ve bu da veritabanı kayıtlarının silinmesi veya değiştirilmesi de dahil olmak üzere yetkisiz veri manipülasyonuna yol açabilir .: Başka bir SQL enjeksiyonu güvenlik açığı, bu sefer
pdf.php. Bu güvenlik açığından yararlanmak, saldırganların veritabanı bilgilerini okumasına, silmesine veya değiştirmesine olanak tanıyarak CVE-2025-25222 ile benzer sonuçlara yol açabilir .
Bu güvenlik açıkları LuxCal Web Takvimi kullanıcıları için yüksek risk oluşturmaktadır:
:Hassas dosyalara ve veritabanı kayıtlarına yetkisiz erişim, önemli veri ihlallerine yol açabilir.
: Saldırganlar, veritabanlarındaki kritik bilgileri değiştirebilir veya silebilir ve bu da depolanan verilerin bütünlüğünü tehlikeye atabilir.
: Başarılı bir istismar, saldırganlara etkilenen uygulama ve onun alt yapısı üzerinde daha fazla kontrol sağlayabilir.
Bu güvenlik açıklarını azaltmak için LuxCal Web Takvimi kullanıcılarının şunları yapması önemle tavsiye edilir:
En kısa sürede en son sürümlere (MySQL için 5.3.3M ve SQLite için 5.3.3L) yükseltin.
LuxCal ile ilgili güvenlik uyarılarını düzenli olarak izleyin ve yamaları derhal uygulayın.
Küçük bir işletmenin etkinlikleri ve randevuları yönetmek için LuxCal Web Takvimini kullandığı bir senaryoyu düşünün. Bir saldırgan CVE-2025-25224'ü erişerek istismar ederse dloader.php, herhangi bir kimlik doğrulama kontrolü olmadan müşteri verileri veya dahili belgeler içeren hassas dosyaları indirebilir. Bu ihlal, kişisel bilgilerin ifşa edilmesi nedeniyle itibar kaybına ve yasal sonuçlara yol açabilir.
Başka bir durumda, CVE-2025-25222'nin istismar edilmesi, bir saldırganın kötü amaçlı SQL komutlarını yürüterek olay verilerini değiştirmesine retrieve.phpve işletmenin operasyonlarını ve güvenilirliğini bozmasına olanak tanıyabilir.
Çözüm
LuxCal Web Takvimindeki tespit edilen güvenlik açıkları, güncel yazılımların bakımının ve sağlam güvenlik önlemlerinin uygulanmasının önemini vurgulamaktadır. Kullanıcılar, kurulumlarını yükselterek ve güvenlik güncellemeleri hakkında bilgi sahibi olarak sistemlerini olası istismardan korumak için derhal harekete geçmelidir.