Görünüşe göre yazılım dünyasında ‘eski’ demek ‘kaybolmuş’ anlamına gelmiyor. Hackread.com ile paylaşılan bir raporda, Sonatype'daki siber güvenlik araştırmacıları, uzun süredir güncellenmeyen Apache Struts sürümlerinin indirme sayısında büyük bir artış olduğunu açıkladı.
Burada bahsedilen özel bir açık var: CVE-2025-68493. Bu keşfi benzersiz kılan şey, nasıl bulunduğudur. Apache Struts güvenlik bültenine (S2-069) göre, bu açık Zast AI adlı otonom bir yapay zeka güvenlik araştırma sistemi tarafından tespit edilmiştir.
Bildiğimiz gibi, yapay zeka artık hataları insanlardan daha hızlı buluyor, bu da iki ucu keskin bir kılıç gibi bir durum yaratıyor; çünkü açıkları bulsa da, kuruluşlara başkaları bu açıkları kullanmadan önce tepki verme süresi neredeyse vermiyor.
Gerçekte ne bozuk?
Sonatype araştırmacılarına göre, sorun XWork bileşeninde yatıyor; bu, yazılımın verileri işlemesine yardımcı olan ana motor. Açık ise ‘güvensiz XML ayrıştırma’ ile ilgili; temelde, yazılımın talimatları okuma şekli.
Gerçek risk, ifşa anında ortaya çıkmıyor, araştırmacılar blog yazısında belirttiği gibi, aslında neyin dağıtıldığını bilme ve değiştirme arasındaki gecikmede ortaya çıkıyor.
Daha fazla araştırma, bir saldırganın sorun yaratmak için bir casus olmasına veya bir bilgisayarı tamamen kontrol etmesine gerek olmadığını ortaya koydu. Özel olarak hazırlanmış bir girdi göndererek, sistemi sonsuz bir döngüye sokabilir ve CPU ile belleği tüketerek çökmesine neden olabilir. Bu, bir web sunucusu için dijital bir kalp krizi gibidir. Bu açık, 2.0.0'dan 6.1.0'a kadar geniş bir sürüm yelpazesini etkiliyor ve 8.8 gibi yüksek bir şiddet puanına sahip.
