CISA, CentOS Web Panel’deki (CWP) kritik bir uzaktan komut çalıştırma açığının tehdit aktörleri tarafından istismar edildiği konusunda uyarıda bulundu. Ajans, bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. BOD 22-01 rehberine tabi federal kurumlar, 25 Kasım’a kadar güvenlik güncellemelerini uygulamalı, satıcı tarafından sağlanan önlemleri almalı veya CWP kullanımını durdurmalı.
CVE-2025-48703 olarak izlenen açık, geçerli bir CWP kullanıcı adını bilen uzaktan, kimlik doğrulaması yapılmamış saldırganların o kullanıcı olarak keyfi kabuk komutları çalıştırmasına izin veriyor. CWP, Linux sunucu yönetimi için kullanılan ücretsiz bir web barındırma kontrol paneli. Açık kaynaklı bir alternatif olarak pazarlanan bu araç, web barındırma sağlayıcıları, sistem yöneticileri ve VPS veya özel sunucu işletmecileri tarafından yaygın olarak tercih ediliyor.
Açık, 0.9.8.1204 sürümünden önceki tüm CWP sürümlerini etkiliyor. Fenrisk güvenlik araştırmacısı Maxime Rinaudo, Haziran sonunda CentOS 7 üzerinde bu açığın istismarını gösterdi. Araştırmacının teknik yazısında belirttiği üzere, açığın kökü dosya yöneticisi “changePerm” uç noktasının kullanıcı tanımlayıcısı belirtilmediğinde bile istekleri işlemesi yatıyor. Bu durum, kimlik doğrulaması yapılmamış isteklerin oturum açmış kullanıcı bekleyen koda ulaşmasını sağlıyor.
Ayrıca, chmod sistem komutunda dosya izin modu olarak çalışan “t_total” parametresi, kabuk komutuna filtrelemesiz geçiriliyor. Bu, kabuk enjeksiyonu ve keyfi komut çalıştırmasına yol açıyor. Rinaudo’nun istismarı, changePerm uç noktasına özel hazırlanmış t_total değeri içeren bir POST isteğiyle kabuk komutu enjekte ederek hedef kullanıcı olarak ters kabuk oluşturuyor.
Araştırmacı, açığı 13 Mayıs’ta CWP’ye bildirdi. Düzeltme, 18 Haziran’da 0.9.8.1205 sürümünde yayınlandı. CISA, 5 Kasım 2025’te açığı KEV kataloğuna ekledi ancak istismar yöntemi, hedefler veya kötü niyetli etkinliğin kökeni hakkında detay paylaşmadı.
CISA ayrıca Gladinet CentreStack ve Triofox ürünlerinde yerel dosya dahil etme açığı olan CVE-2025-11371’i kataloğa ekledi. Federal kurumlar için aynı 25 Kasım son tarihi belirlendi. Huntress, bu açığı 10 Ekim’de aktif olarak istismar edilen sıfır gün olarak işaretledi. Satıcı, dört gün sonra 16.10.10408.56683 sürümünde yamayı yayınladı.
CISA’nın KEV kataloğu ABD federal kurumlarına yönelik olsa da, her kuruluş bu kataloğu izlemeli ve içerdiği güvenlik açıklarını önceliklendirmelidir.
