Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Acil: Cordyceps CI/CD Açıkları 300+ GitHub Deposunu Tehdit Ediyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Acil: Cordyceps CI/CD Açıkları 300+ GitHub Deposunu Tehdit Ediyor

Siber Güvenlik

Acil: Cordyceps CI/CD Açıkları 300+ GitHub Deposunu Tehdit Ediyor

teknomers
Son güncelleme: 24 Haziran 2026 17:31
teknomers
Paylaş
Paylaş

Yeni Bir Siber Güvenlik Tehditi: Cordyceps

Siber güvenlik araştırmacıları, CI/CD (Continuous Integration/Continuous Deployment) iş akışlarındaki zafiyetleri istismar ederek açık kaynaklı tedarik zincirlerini tehlikeye atan yeni bir tehdit sınıfını keşfetmiş durumda. Bu zafiyet, birkaç büyük organizasyonun (Microsoft, Google, Apache, Cloudflare gibi) depolarında tam kontrol sağlamaktadır.

Contents
  • Yeni Bir Siber Güvenlik Tehditi: Cordyceps
  • Saldırı Nasıl Çalışıyor?
  • Etkilenen Sistemler
  • Çözüm ve Korunma
  • Sonuç ve Eylem Planı

Saldırı Nasıl Çalışıyor?

Novee Security tarafından “Cordyceps” olarak adlandırılan bu kritik zafiyet, herhangi bir kimlik doğrulaması olmayan kullanıcının istismar etmesine olanak tanımaktadır. CVE kodları, etkilenebilecek sistemlerle ilgili yapılan araştırmalar, bu tehlikenin çok büyük boyutlarda olduğunu göstermektedir. Özellikle, CI/CD yapılandırmalarındaki zayıflıklar, pull request (PR) sürecine gereğinden fazla izin vermekte ve bu da saldırganların:

  • Yetkisiz kod çalıştırması,
  • Kredi bilgilerini çalması,
  • Tedarik zincirini bozması gibi eylemleri gerçekleştirmesine olanak tanımaktadır.

Yapılan taramalar sonucunda, yaklaşık 30.000 yüksek etkiye sahip depodan 300’den fazlasının tam olarak istismar edilebileceği belirlenmiştir.

Etkilenen Sistemler

Bu zafiyet, çeşitli platformlarda tespit edilmiştir. İşte bazı örnekler:

  • Apache Doris: İki sıfır tıklamalı saldırı, bir PR’daki tek bir yorumun saldırgan kodunu çalıştırarak sert kodlanmış CI bilgilerinin veya tam yazma izinlerine sahip bir token’ın dışarı sızdırılmasına neden oluyor.
  • Cloudflare Workers SDK: Hazırlanmış bir dal adı ile oluşturulan PR, Cloudflare’ın CI çalışanlarında rastgele komutlar çalıştırabiliyor.
  • Python Software Foundation’ın Black: Herhangi bir kullanıcı tarafından gönderilen tek bir pull request, Black’in yapım sistemlerinde saldırgan kodunu çalıştırarak otomasyon token’ını çalmasına olanak tanıyor.

Microsoft ve Google, bu bulguların etkisini doğrulamıştır; Cloudflare, Python ve Apache ise düşürme ve yamanma işlemlerini gerçekleştirmiştir.

Çözüm ve Korunma

Bu zafiyetlerin etkili olabileceği durumları sınırlamak için aşağıdaki öneriler dikkate alınmalıdır:

  • Yapılandırmalarınızı gözden geçirin ve PR’ların izinlerini sınırlandırın.
  • Tüm iş akışlarının ve onayların dikkatlice incelenmesini sağlayın.
  • Açık kaynak bileşenlerinizi düzenli olarak güncelleyin. Belirli zafiyetlere karşı yamaları ya da güncellemeleri uygulayın.

Güvenlik açıklarını kapatmak için özellikle CVE kodlarındaki güncellemeleri takip etmek ve yazılımlarınızı sürekli güncel tutmak büyük önem taşımaktadır.

Sonuç ve Eylem Planı

Bu tür zafiyetlerin istismarı, yazılım tedarik zincirinde ciddi sorunlara yol açabilir. Okuyucularımızın, özellikle CI/CD yapılandırmalarını gözden geçirip güvenlik önlemlerini artırmalarını ve sistemlerini güncellemelerini öneriyoruz. Gerekirse port kapama ve sınırlama gibi ek güvenlik önlemleri almayı ihmal etmeyin.

U-Haul’a Göre 67 Bin Müşteri Veri İhlalinden Etkileniyor
Kritik Uyarı: Hackerlar React2Shell ile Kimlik Bilgilerini Ele Geçiriyor
Çoklu Vektör Saldırıları Artarken DDoS Daha Büyük Bir Öncelik Haline Geliyor
BreachForums’un kurucusuna siber suçlardan 3 yıl hapis cezası verildi.
Twitter, API Ödeme Duvarını Uyguladı, Ancak Bu, Muazzam Bot Krizini Çözecek mi?
ETİKETLENDİ:AcilAçıklarıCICDCordycepsDeposunuediyorGithubTehdit
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Ekran Sürenizi Azaltmanın Yolu: Brick Alın!
Sonraki Makale OpenAI’nin İlk AI İşlemcisi: Jalapeño ile Tanışın

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Laravel 13’te OpenAI Kullanarak Yapay Zeka Destekli İçerik Üretimi
Yazılım
Favori Oyununuza Hakim Olun, Yılda 15.000 Dolar Kazanın
Oyun
OpenAI Araştırmacısı Miles Wang, 2 Milyar Dolar Değerinde AI İlaç Geliştirme Girişimi Kuruyor
Genel
SAP, NetWeaver ve Commerce Cloud’da Acil Güvenlik Açıkları Açıkladı
Siber Güvenlik
Sony Yeni PS5 Dövüş Kumandasını Erteledi mi?
Liste
Benedict Cumberbatch Kartlarının Gizemi: Magic: The Gathering Dünyası
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?