Siber Güvenlik

Acil: Hugging Face LeRobot’ta Kritik Açık RCE Riskleri!

teknomers
teknomers

Giriş

Son dönemde, LeRobot adlı açık kaynak robotik platformunda kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı, uzaktan kod yürütmeye olanak tanıması bakımından ciddi bir tehdit oluşturuyor.

Saldırı Nasıl Çalışıyor?

Güvenlik açığı, CVE-2026-25874 (CVSS puanı: 9.3) olarak tanımlanmıştır ve güvenilir olmayan veri serileştirmesine dayanmaktadır. Açık, asenkron çıkarım hattındaki güvenli olmayan veri serileştirmesi nedeniyle ortaya çıkmaktadır. Detaylar şu şekildedir:

  • LeRobot, gRPC kanalları üzerinden alınan verilerin pickle.loads() fonksiyonu ile serileştirilmesine izin vermektedir.
  • Sertifikasız bir saldırgan, SendPolicyInstructions, SendObservations veya GetActions gRPC çağrıları üzerinden kötü niyetli bir payload göndererek uzaktan kod yürütme gerçekleştirebilir.

Etkilenen Sistemler

Sorun, PolicyServer bileşeninde köklenmiştir ve yetkisiz bir saldırgan, bu sunucuya erişim sağlayarak işletim sisteminde rastgele komutlar çalıştırabilir. Ayrıca, başlıca etkilenen sistemler arasında şunlar bulunmaktadır:

  • LeRobot versiyonu 0.4.3

Çözüm ve Korunma

Güvenlik açığı, LeRobot’un yüksek ayrıcalıklarla çalışan yapay zeka çıkarım sistemleri için tasarlandığı için “tehlikeli” olarak nitelendirilmektedir. Saldırgan bu açığı kullanarak aşağıdaki eylemleri gerçekleştirebilir:

  • Yetkisiz uzaktan kod yürütme
  • PolicyServer sunucusunun tamamen ele geçirilmesi
  • Bağlı robotların etkilenmesi
  • API anahtarları, SSH kimlik bilgileri ve model dosyaları gibi hassas verilerin çalınması
  • Ağ üzerinde yan hareketler yapma
  • Hizmetleri çökertme, modelleri bozma ya da operasyonları sabotajlama

Henüz bir yamanın mevcut olmadığı bu durumda, bir düzeltme 0.6.0 sürümü ile planlanmaktadır.

Sonuç

Okuyuculara, hemen aşağıdaki adımları atmalarını öneriyoruz:

  • LeRobot’un en güncel sürümüne geçin ve CVE-2026-25874 ile ilgili güncellemeleri takip edin.
  • Geçici olarak, LeRobot ile ilgili tüm bağlantı noktalarını kapatın ya da erişimi sınırlandırın.
  • Güvenlik duvarı ve diğer siber güvenlik önlemlerini gözden geçirin.

Bu tür güvenlik açıkları, sürekli olarak izlenmeli ve güncellemelerle kapatılmalıdır.

Microsoft’un En Son Güvenlik Güncellemesinde Aktif Olarak İstismar Edilen 3 Sıfır Gün Kusuru Düzeltildi
Washington Post’un Veri İhlali: 10.000 Çalışanı Etkiledi!
Veri ihlallerini önleme, ayrıcalık kötüye kullanımı ve daha fazlası
Araştırmacılar Ortak Google API Aracı için Yeni RCE Vektörünü Tanıttı
Çalışan, Microsoft Copilot’un Kürtaj Hakkı Görüntüleri İstendiğinde Şeytanlar Yarattığını Söyledi
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Killer Script Kiddies Saldırısında Neler Oluyor?
Sonraki Makale 2026’nın Akıllı Ev Sistemleri: Hangi Asistan Sizi Bekliyor?

Sanal Medya

Son Eklenenler

Laravel’de Carbon (MultiCarbon) ile Jalali ve Hijri Tarihleri
Yazılım
DDR4 bellek ve anakart üretimi yeniden başlıyor, DDR5’siz geleceğe hazırlık
Donanım
AI token maliyetleri büyük bir sorun haline geliyor, OpenAI çözümler arıyor
Donanım
Elden Ring: Tarnished Edition Switch 2 İçin Ön Sipariş Fırsatları
Oyun
LinkedIn üzerinden Batılıları tuzağa düşüren Çin casusları
Genel
AMD Helios MI455X AI platformu lanse edildi, Ethernet sınırlamaları var
Donanım