ILIAS Öğrenim Yönetim Sisteminde Üç Kritik Uzaktan Kod Çalıştırma Zafiyeti

SRLabs araştırmacıları, yaygın olarak kullanılan ILIAS öğrenim yönetim sisteminin 8, 9 ve 10 numaralı sürümlerinde daha önce bilinmeyen üç adet uzaktan kod çalıştırma (RCE) zafiyeti keşfetti. Bu kritik güvenlik açıkları, saldırganların sistem üzerinde keyfi kod çalıştırmasına olanak tanıyor. Güvenlik açıkları sorumlu ifşa süreciyle raporlandı ve gerekli yamalar uygulandıktan sonra detaylar kamuoyuyla paylaşıldı. Bu keşif, daha önceki bir blog yazısında açıklanan depolanmış bir XSS zafiyetinin yönetici ayrıcalıkları ve RCE elde etmek için nasıl kullanıldığını gösteren bir çalışmanın devamı niteliğinde.

Keşfedilen zafiyetlerden ilki, kimlik doğrulaması gerektirmeyen bir RCE (CVE-2025-11344). Bu açık, ILIAS örneklerinin genellikle herkese açık alanlarında bulunan ders sertifikası içe aktarma işlevselliğini hedef alıyor. Sertifika işlevselliğini destekleyen "Test" ve "Ders" gibi nesnelerin herkese açık olması durumunda, kimliği doğrulanmamış misafir kullanıcılar bile sertifika düzenleyici işlevselliğiyle etkileşime geçebiliyor. Yanlış erişim kontrolü sayesinde, saldırganlar sertifika şablonlarını ZIP dosyaları olarak yükleme özelliğini kullanarak web sunucusuna keyfi dosyalar yükleyebiliyor. Yüklenen ZIP dosyası, beklenen XML formatına sahip olmasa bile ayrıştırıcı tarafından işlenerek potansiyel bir zafiyet yolu açıyor.

Diğer iki RCE zafiyeti ise kimlik doğrulaması gerektiren ve güvenli olmayan serileştirmeden kaynaklanıyor. Bu zafiyetler, yetkili kullanıcılar tarafından istismar edilebiliyor ve çoğu zaman tam yönetici hakları gerektirmiyor. Bu durum, sistemdeki yetkili ancak yönetici olmayan kullanıcıların bile kötü niyetli eylemlerde bulunabileceği anlamına geliyor. ILIAS gibi eğitim kurumları ve şirketler tarafından yaygın olarak kullanılan sistemlerde bu tür RCE zafiyetlerinin bulunması, kullanıcı verilerinin ve sistem bütünlüğünün korunması açısından büyük önem taşıyor.