HCL yazılımı artık HCL Bigfix, DevOps, Gezgin ve Bağlantılardaki fişlerin güvenlik boşlukları için güncellemeler sunuyor. Boşluklar kısmen kritiktir. BT yöneticileri hızlı bir şekilde güncellemeleri kullanmalıdır.
HCL Bigfix Webui veya Bigfix için yönetim arayüzü ona daha sert vurdu. Burada kullanılan açık kaynaklı bileşenlerde farklı zayıf noktalar var, bunlardan biri 4.0.2 Canvgs eleştirmen Sıralı (CVE 2025-25977, CVSS 9.8) ve Crypto XML'de ikisi (CVE-2025-29774, CVE-2025-29775, her iki CVSS 9.3).
HCL: Yüksek riskli güvenlik boşlukları
Açık kaynaklı bir modül ayrıca BigFix sunucusunun otomasyonunda bir güvenlik deliği kapmaktan da sorumludur, burada tarayıcı ve node.js. için bir HTTP istemcisi olan Assios'tan kaynaklanmaktadır. Sunucu isteği (SSRF) için potansiyel bir istek sistemin güvenliğini tehlikeye atar (CVE-2025-27152, CVSS 7.7Risk “yüksek“).
Diğer zayıf noktalar biraz daha düşük bir risk sınıflandırması aldı, ancak yine de malign aktörler için potansiyel bir ağ geçidini temsil ediyorlar. Bu nedenle HCL'nin güvenlik bildirimi, savunmasız yazılım kullanıyorlarsa yöneticiyi kontrol etmeli ve ardından mevcut güncellemeleri indirip yüklemelidir.
Yerçekimine göre inen zayıf noktalar:
Şubat ayında HCL, BigFix HCL sunucusu otomasyonu için bir yamayı onarmak ve yeniden dağıtmak zorunda kaldı. İlk koruma denemesi yanlıştı.
(DMK)
HCL Bigfix Webui veya Bigfix için yönetim arayüzü ona daha sert vurdu. Burada kullanılan açık kaynaklı bileşenlerde farklı zayıf noktalar var, bunlardan biri 4.0.2 Canvgs eleştirmen Sıralı (CVE 2025-25977, CVSS 9.8) ve Crypto XML'de ikisi (CVE-2025-29774, CVE-2025-29775, her iki CVSS 9.3).
HCL: Yüksek riskli güvenlik boşlukları
Açık kaynaklı bir modül ayrıca BigFix sunucusunun otomasyonunda bir güvenlik deliği kapmaktan da sorumludur, burada tarayıcı ve node.js. için bir HTTP istemcisi olan Assios'tan kaynaklanmaktadır. Sunucu isteği (SSRF) için potansiyel bir istek sistemin güvenliğini tehlikeye atar (CVE-2025-27152, CVSS 7.7Risk “yüksek“).
Diğer zayıf noktalar biraz daha düşük bir risk sınıflandırması aldı, ancak yine de malign aktörler için potansiyel bir ağ geçidini temsil ediyorlar. Bu nedenle HCL'nin güvenlik bildirimi, savunmasız yazılım kullanıyorlarsa yöneticiyi kontrol etmeli ve ardından mevcut güncellemeleri indirip yüklemelidir.
Yerçekimine göre inen zayıf noktalar:
- HCL BigFix WebUI, birden fazla açık kaynak güvenlik açıkından etkilenir, birkaç CVE, Maks. CVSS 9.8Risk “eleştirmen“
- HCL Bigfix Server Otomasyonu (SA) Açık kaynaklı bir güvenlik açığından etkilenen CVE-2025-27152, CVSS 7.7Risk “yüksek“
- HCL DevOps Dağıtım / HCL lansmanı, diğer hizmetlere yetkisiz erişime duyarlıdır, CVE-2025-0257, CVSS 6.3Risk “orta“
- HCL DevOps Dağıtım / HCL lansmanı bir HTML, CVE-2025-0272, CVSS 5.4Risk “orta“
- HCL gezgin, hassas bilgiler içeren hata mesajlarının üretilmesinden etkilenir, CVE-2025-0279, CVSS 4.3Risk “orta“
- Dahili yolun yayılmasının bir güvenlik açığı, HCL Traveller'ı etkiler, CVE-2025-0278, CVSS 4.3Risk “orta“
- Bilgi Yayılımı Güvenlik Açığı için HCL Bağlantıları Güvenlik Güncellemesi, CVE-2024-42208, CVSS 3.5Risk “orta“
Şubat ayında HCL, BigFix HCL sunucusu otomasyonu için bir yamayı onarmak ve yeniden dağıtmak zorunda kaldı. İlk koruma denemesi yanlıştı.
(DMK)