Siber Güvenlik

Acil: Langflow’daki Yapay Zeka Açıkları Kritik Saldırılara Neden Oluyor

teknomers
teknomers

Giriş

Siber güvenlik alanında sürekli olarak karşılaşılan zafiyetler, yazılım platformlarının güvenliğini tehdit ediyor. Son günlerde, AI geliştirme platformu Langflow’da bulunan ve CVE-2026-5027 koduyla tanımlanan yüksek şiddetli bir yol aşma açığı, saldırganlar tarafından aktif bir şekilde istismar ediliyor.

Contents

Saldırı Nasıl Çalışıyor?

CVE-2026-5027, Langflow’un dosya yükleme işlevinde, kullanıcı tarafından sağlanan dosya adlarını doğru bir şekilde temizlemeyen bir yol aşma zafiyetidir. Bu açığın nasıl istismar edilebileceğiyle ilgili detaylar aşağıda belirtilmiştir:

  • POST /api/v2/files uç noktası, çok parçalı form verisinden ‘filename’ parametresini temizlemediği için, saldırganların dosyaları dosya sisteminde rastgele konumlara yazmasına olanak tanır.
  • Bu işlem, yol aşma dizgeleri (‘../’) kullanılarak gerçekleştirilir.

Etkilenen Sistemler

Langflow, AI uygulamaları ve sistemleri geliştirmek için yaygın olarak kullanılan açık kaynaklı bir platformdur. Şu an itibarıyla, Langflow’un yaklaşık 149,000 yıldız ve 9,200 farklı dal üzerinde bulundurduğu GitHub üzerindeki popülerliği göz önüne alındığında, birçok kullanıcı bu açığın hedefi olabilir.

Censys taramaları, yaklaşık 7,000 kamuya açık Langflow örneği tespit etti. Ancak, bu veriler son 12 ay boyunca gerçekleştirilen taramalara dayanmakta ve güncel durumu yansıtmayabilir.

Çözüm ve Korunma

Bu açığın bulunmasının ardından, Snyk Security tarafından 30 Mart 2026’da yapılan açıklamada, sorunun langflow-base paketi versiyon 0.8.3’te düzeltildiği bilgisi verilmiştir. Langflow uygulaması ise 1.9.0 versiyonu ile güncellenmiştir. En son güncelleme olarak ise, versiyon 1.10.0, bugün itibarıyla yayımlanmıştır.

Güvenlik uzmanları, Langflow kullanıcılarının aşağıdaki adımları takip etmelerini önermektedir:

  • Kullandığınız Langflow sürümünü 1.10.0 versiyonuna güncelleyin.
  • Kullanılmayan veya eski sürümleri, sunucularınızdan kaldırın.
  • Sisteminizi sürekli izleyin ve yetkisiz erişim taleplerini denetleyin.

Sonuç

Langflow platformunda bulunan yüksek şiddetli zafiyetin istismar edilme potansiyeli, kullanıcıların acilen güncellemeler yapmasını zorunlu kılıyor. Hızla hareket ederek, sisteminizi güncelleyip güvenliğinizi sağlamalısınız.

HPE OneView’deki CVSS 10.0 Açığı: Uzaktan Kod İcra Tehdidi!
EVE Online oyuncuları Chat GPT-4’ün rehberliğinde ilk ‘Yapay Zeka imparatorluğunu’ yaratıyor
Moxa MXview Ağ Yönetim Yazılımında Bildirilen Kritik Güvenlik Kusurları
Meta’nın yeni yapay zeka konseyi tamamen beyaz adamlardan oluşuyor
Acil: Windows için Hola Tarayıcısı Kripto Madenciliği için Tehdit Altında
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale CISA, AI Tehditleri Nedeniyle Güvenlik Hatalarını 3 Günde Düzeltin Dedi!
Sonraki Makale Yaklaşık Bir Milyon Pasaport ve Kimlik Belgesi İnternette Güvende Değil

Sanal Medya

Son Eklenenler

Resident Evil: Veronica ile Üçüncü Şahıs Oyun Deneyimi Yenileniyor
Oyun
Andrew Yang Washington Beklemeden Neden Yapıyor?
Genel
Apple’ın Yeni Siri AI’sı Ne Zaman Susacağını Biliyor
Liste
Meta Çalışanı İşten Ayrıldıktan Sonra Göçmenlik Ekipleri Tarafından Gözaltına Alındı
Genel
xAI, Grok güvenliğini gündeme getiren mühendisi işten çıkardı
Yapay Zeka
10 Dakikada Çok Kiracılı Laravel SaaS Oluşturma (Stripe, Filament, OAuth ve Arapça RTL)
Yazılım