Siber Güvenlik Haberleri

17.06.2026 08:50 The Hacker News US

CISA, PHP Kod Çalıştırmaya İzin Veren Joomla JCE Açığını Aktif Olarak İstismar Edildiğini Uyarıyor

CISA, Widget Factory Joomla Content Editor (JCE) üzerindeki bir güvenlik açığını KEV kataloğuna ekledi. CVE-2026-48907 olarak takip edilen bu açık, kötü niyetli kullanıcıların sistemde istenmeyen kod çalıştırmasına olanak tanıyor.

23.06.2026 17:22 The Hacker News US

GitHub, Pwn İstek Saldırı Desenlerini Engellemek İçin actions/checkout'u Güncelliyor

GitHub, 'actions/checkout' aracını güncelleyerek, 'pull_request_target workflow' tetikleyicisinin kötüye kullanımını engellemeyi hedefliyor. Bu güncelleme, yazılım tedarik zinciri güvenliğini artırmak için önemli bir adım.

23.06.2026 06:56 The Hacker News US

OpenAI, Güvenlik Açıklarını Kapatmaya Yardımcı Olmak İçin GPT-5.5-Cyber ile Daybreak'i Genişletiyor

OpenAI, Daybreak girişimi kapsamında güvenlik açıklarını tespit etmek için geliştirilmiş GPT-5.5-Cyber modelini duyurdu. Bu model, büyük kod tabanlarında daha derin analiz yapabilme yeteneğine sahip.

22.06.2026 19:13 The Hacker News US

Araştırmacılar, Dify'deki DifyTap Açıklarını Detaylandırdı

Araştırmacılar, Dify platformunda tespit edilen dört güvenlik açığını açıkladı. Bu açıklar, saldırganların diğer kullanıcıların yapay zeka sohbetlerine erişim sağlamasına olanak tanıyor.

22.06.2026 17:29 The Hacker News US

29 Yaşındaki Squid Proxy Hatası 'Squidbleed', Açık Metin HTTP İsteklerini Sızdırabiliyor

Squid web proxy'sindeki bir heap over-read açığı, başka bir kullanıcının açık metin HTTP isteklerini sızdırabiliyor. Bu açık, 1997'deki bir FTP ayrıştırma değişikliğine dayanıyor ve hala Squid'in varsayılan yapılandırmasında aktif.

08.04.2026 12:16 The Hacker News US

Anthropic'in Claude Mythos'u Büyük Sistemlerde Binlerce Sıfır Gün Açığı Buluyor

Anthropic, Claude Mythos adlı yeni yapay zeka modelini tanıtarak, güvenlik açıklarını bulmak ve ele almak için Project Glasswing adlı bir siber güvenlik girişimi başlattı. Bu model, Amazon Web Services, Apple ve diğer büyük firmalarla iş birliği içinde kullanılacak.

OpenStack Keystone: Sınırlı uygulama kimlik bilgileri EC2 kimlik bilgileri oluşturabilir

OpenStack Keystone'daki bir güvenlik açığı, sınırlı okuma yetkisine sahip kullanıcıların EC2 kimlik bilgileri alarak S3 bucket'larına tam erişim sağlamasına izin veriyor. Bu durum, uygulama kimlik bilgileri üzerindeki rol kısıtlamalarının aşılmasına neden oluyor.

siber güvenlik açıklar OpenStack

vulnerability 75

OpenSSL Güvenlik Danışmanlığı

OpenSSL'de orta ile düşük şiddette bir dizi güvenlik açığı düzeltildi. Bu güncelleme, kullanıcıların sistemlerini korumak için önemlidir.

OpenSSL güvenlik açığı siber güvenlik

Açık Küme Yönetimi (OCM): Yetersiz Sertifika Doğrulaması

Open Cluster Management (OCM) üzerinde yapılan bir incelemede, Kubernetes istemci sertifikası yenileme işlemlerinin yetersiz doğrulaması nedeniyle bir güvenlik açığı bulundu. Bu açık, saldırganların diğer yönetilen kümelere erişim kazanmasına yol açabilir.

güvenlik açığı Kubernetes Open Cluster Management

dbt: Yeniden Kullanılabilir İş Akışında Sanitizasyon Olmayan Yorum Gövdesi Çıkışı ile Komut Enjeksiyonu

dbt uygulamasında, kullanıcı tarafından kontrol edilen bir yorum metninin doğrudan shell komutlarına enjekte edilmesiyle bir komut enjeksiyonu açığı tespit edildi. Bu açık, CVE-2026-39382 kodu ile sınıflandırılmıştır.

siber güvenlik komut enjeksiyonu açık

vulnerability 94

Windmill < 1.603.3 Dosya Sahipliği Yönetimi SQLi RCE

Windmill CE ve EE sürümlerinde bulunan SQL enjeksiyonu zafiyeti, kimlik doğrulaması yapılmış saldırganların hassas verilere erişmesine ve uzaktan kod çalıştırmasına imkan tanıyor. Resmi bir düzeltme mevcut.

SQL Enjeksiyonu Uzaktan Kod Çalıştırma Zafiyet

vulnerability 95

Cockpit: komut enjeksiyonu

Cockpit uygulamasının uzaktan giriş özelliği, kullanıcı tarafından sağlanan ana bilgisayar adlarını ve kullanıcı adlarını doğrulama veya temizleme yapmadan SSH istemcisine geçiriyor. Bu durum, saldırganların ağ erişimi ile kötü niyetli komutlar enjekte etmesine ve kod çalıştırmasına olanak tanıyor.

siber güvenlik açık komut enjeksiyonu

Emissary: GitHub Actions Shell Enjeksiyonu Yoluyla İş Akışı Girdileri

Emissary, GitHub Actions'da bulunan bir shell injection açığını ortaya çıkardı. Bu açık, saldırganların rastgele shell komutları enjekte etmesine olanak tanıyor ve bu durum, tüm kullanıcıları etkileyen bir tedarik zinciri tehlikesine yol açabilir.

siber güvenlik açık GitHub

changedetection.io: Dekoratör Sıralaması ile Kimlik Doğrulama Atlama

changedetection.io, kimlik doğrulama atlamasına neden olan bir güvenlik açığına sahip. Bu açık, Flask uygulamasındaki dekoratörlerin yanlış sıralanmasından kaynaklanıyor ve 0.54.8 sürümünde düzeltilmiştir.

güvenlik açığı kimlik doğrulama Flask

Django güvenlik güncellemeleri yayınlandı: 6.0.4, 5.2.13 ve 4.2.30

Django ekibi, güvenlik sorunlarını ele alan yeni sürümler yayınladı. Kullanıcıların bu güncellemeleri yapmaları önemle tavsiye ediliyor.

güvenlik Django yazılım güncellemesi

Mozilla Firefox, Thunderbird: birden fazla güvenlik uyarısı

Mozilla Firefox ve Thunderbird'de bellek güvenliği hataları tespit edildi. Bu açıklar, belirli sürümlerde kritik düzeyde olup, resmi bir düzeltme ile giderilmiştir.

güvenlik açığı Mozilla Firefox

Flatpak: Ana dosya erişimi ve ana bağlamda kod yürütme için tam sandbox kaçışı

Flatpak portalında bulunan bir güvenlik açığı, uygulamaların sandbox dışındaki dosyalara erişmesine ve kod yürütmesine olanak sağlıyor. Bu durum, sistemin güvenliğini tehlikeye atıyor.