OpenText, Operations Bridge Manager (OBM) yazılımında tespit edilen iki ciddi güvenlik açığıyla ilgili önemli bir güvenlik uyarısı yayınladı. Bu açıklamada, CVE-2025-3476 ve CVE-2025-3272 olarak izlenen zafiyetlerin birden fazla OBM sürümünü etkilediği belirtildi. Söz konusu açıklar, kimliği doğrulanmış kullanıcıların yetkilerini yükseltmesine ya da parola doğrulama mekanizmalarını atlatmasına olanak tanıyabiliyor.
OBM Nedir?
Operations Bridge Manager (OBM), OpenText’in Yapay Zekâ Destekli BT Operasyon Yönetimi (AIOps) platformunun merkezi bileşenlerinden biridir. OBM; şirket içi, özel ve genel bulutlar ile konteyner tabanlı altyapılar dahil olmak üzere karmaşık BT ortamlarında birleşik görünürlük ve performans yönetimi sunar.
CVE-2025-3476: Yetki Yükseltme Açığı (CVSSv4 Puanı: 9.4 – Kritik)
Bu yüksek önem derecesine sahip güvenlik açığı, kimliği doğrulanmış kullanıcıların OBM ortamlarında sistem üzerindeki ayrıcalıklarını yükseltmesine olanak tanıyor. OpenText’in güvenlik danışma metninde şu ifadelere yer verildi:
“Operations Bridge Manager içerisinde, kimliği doğrulanmış kullanıcıların yetki yükseltmesine izin veren bir güvenlik açığı tespit edilmiştir.”
Etkilenen Sürümler ve Gerekli Güncellemeler
| Etkilenen Sürüm | Güncellenmesi Gereken Sürüm | Hotfix Kodu |
|---|---|---|
| OBM 2023.05 | OBM 25.2+ | HOTFIX30746 |
| OBM 23.4 | OBM 25.2+ | HOTFIX30733 |
| OBM 24.2 | OBM 25.2+ | HOTFIX30732 |
| OBM 24.4 | OBM 25.2+ | HOTFIX30731 |
Güncelleme imkânı olmayan kullanıcılar, ilgili hotfix paketlerini OpenText destek ekibiyle iletişime geçerek temin edebilirler.
CVE-2025-3272: Parolasız Sıfırlama Açığı (CVSSv4 Puanı: 6.7 – Orta)
İkinci açık ise kimliği doğrulanmış kullanıcıların mevcut parolayı girmeden şifrelerini sıfırlayabilmesine olanak tanıyor. Bu durum, kimlik doğrulama sistemlerinin bütünlüğünü zayıflatarak saldırganların hesap ele geçirme riskini artırıyor.
Etkilenen Sürümler ve Gerekli Güncellemeler
| Etkilenen Sürüm | Güncellenmesi Gereken Sürüm | Hotfix Kodu |
|---|---|---|
| OBM 24.2 | OBM 25.2+ | HOTFIX30732 |
| OBM 24.4 | OBM 25.2+ | HOTFIX30731 |
Sonuç ve Güvenlik Önerisi
Bu açıklar, OBM kullanan kurumlar için ciddi bir risk teşkil ediyor. Özellikle CVE-2025-3476 gibi kritik seviyedeki bir açığın sistemde kalması, kötü niyetli aktörlerin ağ içinde kontrolü ele geçirmesine zemin hazırlayabilir. Kullanıcıların en kısa sürede güncellemeleri uygulamaları ve/veya gerekli hotfix paketlerini edinmeleri önemle tavsiye edilir.
İlgili Diğer Güvenlik Uyarıları
- CVE-2024-12799 (CVSS 10): OpenText Identity Manager’da kritik bilgi sızdırma açığı
- OpenText PVCS Version Manager: Kritik açıklar kapatıldı
- Ivanti Connect Secure, Policy Secure: Ciddi güvenlik açıkları ortaya çıktı
- Google Chrome: İhlal edilen hesaplar için yapay zekâ destekli otomatik parola değişimi test ediliyor
