Hitachi Energy e-mesh EMS'de Kritik Zafiyet

Hitachi Energy, e-mesh EMS ürünlerinde bir tampon taşıma zafiyeti bulunduğunu ortaya çıkardı. Bu zafiyet, özellikle e-mesh EMS 4.1.6, 4.4.2 ve 4.7.0 sürümlerini etkiliyor. Başarılı bir şekilde sömürüldüğünde, bu zafiyet hizmet reddi ve keyfi kod yürütülmesine neden olabilir. Zafiyet, NGINX Plus ve NGINX Open Source'ın kullanıldığı e-mesh EMS'de ortaya çıkıyor. NGINX worker process'te bir yığın tampon taşıma oluşmasına neden olan bu zafiyet, sistemlerin yeniden başlatılmasına yol açabilir. Ayrıca, saldırganlar, Address Space Layout Randomization (ASLR) devre dışı bırakılmış sistemlerde veya ASLR'ı atlatmaları durumunda kod yürütme gerçekleştirebilirler.
CVE-2026-42945 olarak belirlenen bu zafiyet, e-mesh EMS sürümlerinin NGINX v1.30.0 ve altını kullanması durumunda ortaya çıkıyor. Hitachi Energy, bu zafiyeti gidermek için bir hotfix yayınladı. Kullanıcıların, NGINX'i v1.30.2 veya en son sürüme güncellemek için ilgili e-mesh EMS sürümleri için hotfix'i uygulamaları öneriliyor. Ayrıca, rewrite yapılandırmasını güncellemek de öneriliyor.
Bu zafiyet, enerji sektöründe kritik altyapılarda kullanılan e-mesh EMS ürünlerini etkileyebileceği için, acil önlem alınması gerekiyor. Kullanıcıların, mümkün olan en kısa sürede hotfix'i uygulamaları ve gerekli önlemleri almaları önem taşıyor.

