Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Acil: PraisonAI CVE-2026-44338 Yetki Aşımı Açığa Çıktı!
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Acil: PraisonAI CVE-2026-44338 Yetki Aşımı Açığa Çıktı!

Siber Güvenlik

Acil: PraisonAI CVE-2026-44338 Yetki Aşımı Açığa Çıktı!

teknomers
Son güncelleme: 14 Mayıs 2026 15:44
teknomers
Paylaş
Paylaş

Giriş

Son zamanlarda, açık kaynaklı bir çoklu ajan orkestrasyon çerçevesi olan PraisonAI’de tespit edilen bir güvenlik açığı, siber tehdit aktörleri tarafından kamuya duyurulmasından sadece dört saat sonra istismar edilmeye çalışıldı. Bu durum, güvenlik açıklarının hızla kötüye kullanılmasının artan bir trend haline geldiğini gözler önüne seriyor.

Contents
  • Giriş
  • Saldırı Nasıl Çalışıyor?
  • Etkilenen Sistemler
  • Çözüm ve Korunma

Saldırı Nasıl Çalışıyor?

Bahsedilen güvenlik açığı, CVE-2026-44338 (CVSS puanı: 7.3) olarak tanımlanmıştır ve kimlik doğrulama eksikliği nedeniyle hassas uç noktaların saldırganlara açık hale gelmesine neden olmaktadır. Bu durum, bir saldırganın API sunucusunun korunan işlevlerini bir token olmaksızın çağırabilmesine olanak tanımaktadır. PraisonAI geliştiricilerine göre, AUTH_ENABLED değeri devre dışı bırakılmıştır ve AUTH_TOKEN ise ‘None’ olarak sabitlenmiştir. Bu nedenle, kimlik doğrulama atlaması koşulsuz olarak sağlanmış olmaktadır.

Bu durumda, istismar başarılı olursa ortaya çıkabilecek etkiler şunlardır:

  • Unauthenticated enumeration üzerinden yapılandırılmış ajan dosyasının erişimi (/agents).
  • Yerel olarak yapılandırılmış “agents.yaml” iş akışının kimlik doğrulama olmaksızın tetiklenmesi (/chat).
  • Model/API kotasının tekrar tekrar tüketilmesi.
  • PraisonAI.run() sonuçlarının yetkisiz çağrıcılara açılması.

Etkilenen Sistemler

Bu güvenlik açığı, Python paketinin  2.5.6  ile  4.6.33  arasındaki tüm versiyonlarını etkilemektedir.  4.6.34  sürümünde bu açık kapatılmıştır. Güvenlik araştırmacısı  Shmulik Cohen , hatayı tespit edip bildiren kişi olarak kaydedilmiştir.

Sysdig tarafından yayımlanan bir rapor, bu açığın kamuya duyurulmasından saatler içinde kötüye kullanılmaya yönelik denemelerin gözlemlendiğini bildirmektedir. Rapor, uyarının yayımlandıktan üç saat kırk dört dakika sonra, siber hakimiyeti sağlayan bir tarayıcının internet üzerindeki açık uç noktaları taramaya başladığını belirtmektedir.

Çözüm ve Korunma

Kullanıcıların, en kısa sürede aşağıdaki önlemleri alması şiddetle tavsiye edilmektedir:

  • En son güvenlik güncellemelerini uygulayın.
  • Mevcut dağıtımları denetleyin; şüpheli bir etkinlik varsa hesabınızı gözden geçirin.
  • “agents.yaml” dosyasında geçerli olan kimlik bilgilerini değiştirin.

Sysdig, “Kötü niyetli araçlar, AI ve ajan ekosistemi üzerinde ölçeklenmiş durumda. Bu durumda, kimlik doğrulama gerektirmeyen varsayılan ayarlarla gönderilen herhangi bir projede, bilgi sızdırma ile istismar arasındaki sürenin saatler değil, dakikalar ile ölçüldüğünü varsaymak gerekir,” demektedir.

Sonuç olarak, sistem yöneticileri ve kullanıcılar, bu tür açıkların etkisini minimize etmek için üst düzey önlem almalı, güncellemeleri takip etmeli ve sistemdeki yapılandırmaları düzenli olarak gözden geçirmelidir.

Yeni Core Ultra 3, 14 çekirdeğe sahip olacak. Intel Arrow Lake-HX mobil işlemcilere ilişkin veriler ortaya çıktı
WordPress Gravity Forms geliştiricisi, arka kapılı eklentiler dağıttı.
Floridalı Bir Adamın Migreninin Gerçek Beyin Kurdu Olduğu Ortaya Çıktı
EVE Online 2023 İçerik Yol Haritası Ortaya Çıktı, İki Genişletme ve Excel Entegrasyonu İçeriyor
Salt Typhoon, GhostSpider ile Kötü Amaçlı Yazılım Arsenalini Geliştiriyor
ETİKETLENDİ:AcilaçığaaşımıçıktıCVE202644338PraisonAIYetki
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Ölü PCB’lerden RTX 3070 16GB yapıldı, 4K’da FPS’yi iki katına çıkardı
Sonraki Makale Razr Fold Orta Noktada Sıkıştı mı?

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Samsung’un 55 İnçlik Çerçeveli Sanat TV’si 200 Dolar Daha Uygun Fiyatla
Liste
Acil: Yamalanmamış Shark Vakum Hatası Diğerlerini Tehdit Ediyor
Siber Güvenlik
Palworld’da Antik Medeniyet Çekirdekleri Nerede Bulunur?
Oyun
Kurucular Fonu Eski OpenAI Yöneticisi Ryan Beiermeister’i İşe Aldı
Genel
Laravel AI ajanınza gerçek zamanlı web bilgisi verin
Yazılım
Lenovo, dünyanın ilk mürekkep püskürtmeli OLED’li dizüstü bilgisayarını tanıttı: Legion R9000P, TCL CSOT’dan 240 Hz IJP panel ile geldi.
Donanım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?