JFrog Güvenlik Araştırma ekibi, OpenSSL'de yeni ortaya çıkan ve uzaktan kod çalıştırmaya (RCE) yol açabilecek potansiyel kritik bir yığın taşması (stack overflow) güvenlik açığını (CVE-2025-15467) takip ediyor. OpenSSL tarafından "yüksek" önem derecesinde derecelendirilen bu açık, NVD tarafından "kritik" olarak sınıflandırılabilir. Saldırganlar, kötü niyetli olarak oluşturulmuş AEAD parametrelerine sahip özel bir CMS AuthEnvelopedData mesajı göndererek bu yığın arabellek taşmasını istismar edebilirler.
Etkilenen OpenSSL sürümleri 3.6, 3.5, 3.4, 3.3 ve 3.0 iken, 1.1.1 ve 1.0.2 sürümleri bu açıktan etkilenmemektedir. Ayrıca, 3.6, 3.5, 3.4, 3.3 ve 3.0 sürümlerindeki FIPS modülleri de CMS uygulamasının FIPS modülü sınırları dışında olması nedeniyle güvendedir. JFrog araştırma ekibi, CMS_Decrypt API'sini doğrudan çağırarak güvenlik açığını başarıyla yeniden üretti ve kod yürütmeyi başardı. Bu durum, CMS_RecipientInfo_decrypt, CMS_decrypt ve PKCS7_decrypt gibi API'leri çağıran OpenSSL tabanlı uygulamaları veya 'openssl cms' ve 'openssl smime' araçlarını kullanan uygulamaları savunmasız hale getirmektedir.
Kullanıcıların, güvenlik açıklarını gidermek için OpenSSL sürümlerini acilen yükseltmeleri önerilmektedir: 3.6 -> 3.6.1, 3.5 -> 3.5.5, 3.4 -> 3.4.4, 3.3 -> 3.3.6 ve 3.0 -> 3.0.19. CMS (Cryptographic Message Syntax), e-posta güvenliği (S/MIME) ve veri korumasının kritik olduğu diğer senaryolarda yaygın olarak kullanılan, gizlilik, bütünlük ve kimlik doğrulaması sağlayan bir standarttır. AuthEnvelopedData ise hem şifreleme hem de kimlik doğrulama sunan özel bir CMS yapısıdır.
OpenSSL'deki bu kritik güvenlik açığı, dünya genelindeki birçok uygulamanın güvenliğini tehdit ederek uzaktan kod çalıştırma riskini ortaya çıkarıyor ve acil yama gerektiriyor.