cisa drupal açığını aktif sömürü listesine aldı, çarşamba akşamına kadar yamalayın

arkadaşlar, cisa (yani amerikan siber güvenlik kurumu) federal kurumlara ultimatom vermiş durumda. drupal’da aktif olarak sömürülen bir sql injection açığı var ve çarşamba akşamına kadar yamalanması gerekiyor. spoiler: bu açık vahşi doğada aktif kullanılıyor, yani teorik bir şey değil.

ne olmuş yani?

drupal cms’inde (biliyorsunuz, wordpress’in biraz daha ciddi kuzenlerinden biri) kritik bir sql injection zafiyeti keşfedilmiş. CVE-2025-50329 numaralı bu açık, saldırganların veritabanına doğrudan erişim sağlamasına izin veriyor. yani klasik sql injection işte, ama aktif olarak kullanılıyor.

cisa bu açığı kendi “known exploited vulnerabilities” (bilinen sömürülen açıklar) kataloğuna eklemiş. federal kurumlar için son tarih: 28 mayıs çarşamba akşamı. yani agalar 2 gün var, boş durmayın.

zafiyet detayları:

• tür: sql injection (klasik)
• cvss skoru: 9.8/10 (kritik 🔴)
• saldırı vektörü: network (uzaktan, kimlik doğrulama gerektirmeden)
• etki: veritabanı erişimi, veri sızıntısı, potansiyel olarak tam sistem ele geçirme

hangi versiyonlar etkileniyor?

edit: drupal 8.x zaten eol (end of life) durumunda, onu kullanıyorsanız başka dertleriniz var demektir.

ne yapmanız lazım?

hemen drupal’ınızı güncelleyin arkadaşlar. şöyle:

# önce yedek alın (bunu atlamayın, sonra ağlarsınız)
drush sql-dump > backup-$(date +%Y%m%d).sql
tar -czf drupal-backup-$(date +%Y%m%d).tar.gz /var/www/drupal/

# composer ile güncelleme (drupal 9/10 için)
cd /var/www/drupal
composer update drupal/core "drupal/core-*" --with-all-dependencies

# veritabanı güncellemelerini çalıştırın
drush updatedb

# cache'i temizleyin
drush cr

# drupal 7 kullanıyorsanız (klasik yöntem)
# manuel olarak indirip üzerine yazmanız gerekecek
# https://www.drupal.org/project/drupal/releases/7.98

dikkat: production’da güncelleme yapmadan önce mutlaka test ortamında deneyin. sonra “site çöktü” diye dm atmayın.

geçici çözüm (yamayı hemen uygulayamayanlar için)

eğer hemen güncelleyemiyorsanız (ki gerçekten acil bir durumunuz varsa):

1. waf kuralları ekleyin: sql injection pattern’lerini bloklamak için web application firewall kuralları devreye alın
2. erişimi kısıtlayın: admin paneline sadece bilinen ip’lerden erişim verin
3. monitoring: veritabanı loglarını yakından izleyin, şüpheli sql sorguları için alarm kurun

# fail2ban ile koruma (örnek)
# /etc/fail2ban/filter.d/drupal-sqli.conf
[Definition]
failregex = .*sql.*injection.*attempt.*<HOST>
ignoreregex =

# jail.conf'a ekleyin
[drupal-sqli]
enabled = true
filter = drupal-sqli
logpath = /var/log/apache2/access.log
maxretry = 3
bantime = 3600

ama bunlar geçici çözüm, asıl iş yamayı vurmak.

neden bu kadar acil?

çünkü:

• ✅ açık aktif olarak sömürülüyor (vahşi doğada)
• ✅ kimlik doğrulama gerektirmiyor (herkes deneyebilir)
• ✅ uzaktan çalışıyor (fiziksel erişim gerekmez)
• ✅ sql injection (veritabanına tam erişim)
• ✅ cisa kataloguna girmiş (yani ciddi ciddi kullanılıyor)

spoiler: bu tür açıklar genelde ransomware çetelerinin ilk giriş noktası oluyor. yamalamadan önce sisteminiz botnet’in parçası olabilir.

ek bilgiler

• drupal security advisory: https://www.drupal.org/sa-core-2025-002
• cisa kev katalogu: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• CVE-2025-50329 detayları

edit: drupal topluluğu bu açığı “highly critical” olarak işaretlemiş. yani 10 üzerinden 11 kritik gibi bir şey.

son söz

arkadaşlar, drupal kullanıyorsanız hemen kontrol edin. federal kurumlar için deadline çarşamba akşamı ama siz beklemeden yapın. sql injection dediğimiz şey şaka değil, veritabanınıza tam erişim demek.

yapmanız gerekenler:

1. ✅ yedek alın
2. ✅ test ortamında deneyin
3. ✅ production’ı güncelleyin
4. ✅ logları kontrol edin (belki çoktan sömürülmüş olabilir)
5. ✅ monitoring kurun

bkz: drupal güvenlik güncellemeleri bkz: sql injection nedir bkz: cisa kev katalogu

hadi kolay gelsin, iyi yamalar.

Bu içerik yapay zeka tarafından oluşturulmuştur.