Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: OpenRefine’ın Zip Slip Güvenlik Açığı Saldırganların Kötü Amaçlı Kod Çalıştırmasına İzin Verebilir
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » OpenRefine’ın Zip Slip Güvenlik Açığı Saldırganların Kötü Amaçlı Kod Çalıştırmasına İzin Verebilir

GenelSiber Güvenlik

OpenRefine’ın Zip Slip Güvenlik Açığı Saldırganların Kötü Amaçlı Kod Çalıştırmasına İzin Verebilir

teknomers
Son güncelleme: 2 Ekim 2023 14:19
teknomers
Paylaş
Paylaş


02 Eki 2023THNGüvenlik Açığı / Siber Saldırı

Açık kaynaklı OpenRefine veri temizleme ve dönüştürme aracında, etkilenen sistemlerde rastgele kod yürütülmesine neden olabilecek yüksek önemde bir güvenlik açığı ortaya çıktı.

Şu şekilde izlendi: CVE-2023-37476 (CVSS puanı: 7.8), güvenlik açığı, 3.7.3 ve altındaki sürümlerde özel hazırlanmış bir projeyi içe aktarırken olumsuz etkilere sahip olabilecek bir Zip Slip güvenlik açığıdır.

Sonar güvenlik araştırmacısı Stefan Schiller, “OpenRefine yalnızca kullanıcının makinesinde yerel olarak çalışacak şekilde tasarlanmış olsa da, bir saldırgan kullanıcıyı kötü amaçlı bir proje dosyasını içe aktarması için kandırabilir.” söz konusu Geçen hafta yayınlanan bir raporda. “Bu dosya içe aktarıldıktan sonra saldırgan, kullanıcının makinesinde isteğe bağlı kod çalıştırabilir.”

Zip Slip güvenlik açıklarına yatkın yazılımlar, bir saldırganın dosya sisteminin aksi takdirde erişemeyeceği kısımlarına erişim sağlamak için kullanabileceği bir dizin geçiş hatasından yararlanarak kod yürütülmesinin önünü açabilir.

Saldırı iki hareketli parçadan oluşuyor: kötü amaçlı bir arşiv ve yeterli doğrulama kontrolü gerçekleştirmeyen, dosyaların üzerine yazılmasına veya istenmeyen konumlara paketlerinin açılmasına olanak tanıyan çıkarma kodu.

Çıkarılan dosyalar, düşman tarafından veya sistem (veya kullanıcı) tarafından uzaktan başlatılabilir ve bu da kurbanın makinesinde komut yürütülmesine neden olabilir.

OpenRefine’de tespit edilen güvenlik açığı da benzer şekildedir; dosyaları arşivden çıkarmak için kullanılan “untar” yöntemi, kötü niyetli bir kişinin “../../.jpg” adlı bir dosyayla bir arşiv oluşturarak dosyaları hedef klasörün dışına yazmasına olanak tanır. ./../tmp/pwned.”

7 Temmuz 2023’te sorumluların yaptığı açıklamanın ardından güvenlik açığına yama uygulandı. sürüm 3.7.4 17 Temmuz 2023’te yayınlandı.

Schiller, “Güvenlik açığı saldırganlara güçlü bir ilkellik kazandırıyor: rastgele içeriğe sahip dosyaları dosya sistemindeki rastgele bir konuma yazmak.”

“Kök ayrıcalıklarıyla çalışan uygulamalar için, bunu işletim sisteminde rastgele kod yürütmeye dönüştürmek için düzinelerce olasılık var: passwd dosyasına yeni bir kullanıcı eklemek, bir SSH anahtarı eklemek, bir cron işi oluşturmak ve daha fazlası.”

Açıklama, kavram kanıtlama (PoC) istismar kodunun ortaya çıkmasıyla birlikte geldi. yüzeye çıktı bir için şimdi yamalı kusurlar çifti Microsoft SharePoint Server’da – CVE-2023-29357 (CVSS puanı: 9,8) ve CVE-2023-24955 (CVSS puanı: 7,2) – ayrıcalık yükseltme ve uzaktan kod yürütmeyi sağlamak için zincirlenebilir.

Ayrıca Cyfirma’nın Apache NiFi’deki yüksek önemdeki bir hataya ilişkin uyarısını da takip ediyor (CVE-2023-34468CVSS puanı: 8.8) uzaktan kod yürütülmesine izin verir kötü amaçlı H2 veritabanı bağlantı dizeleri aracılığıyla. İçinde çözüldü Apache NiFi 1.22.0.

Siber güvenlik firması, “Saldırganlara sistemlere yetkisiz erişim sağlama, hassas verileri sızdırma ve kötü amaçlı kodları uzaktan yürütme olanağı sağladığı için bu güvenlik açığının etkisi ciddi” dedi. söz konusu. “Bir saldırgan bu kusurdan yararlanarak veri bütünlüğünü tehlikeye atabilir, operasyonları aksatabilir ve potansiyel olarak mali ve itibar kaybına neden olabilir.”



siber-2

TikTok’ta ABD’deki Bazı Kullanıcılara Sorun Yaratan Oracle Kesintisi
NASA’nın Mars helikopteri uzun aradan bu yana en uzun uçuşu yapıyor
Eski Rockstar geliştiricisi, GTA 6’nın henüz ertelenme pozisyonunda olmadığını söylüyor
Satın almak, bakımını yapmaktan daha ucuzdur. Analistler, 1,545 milyon ruble fiyatla UAZ Patriot’un bakımının 1,95 milyon rubleye mal olduğunu hesapladılar
Süper ucuz RTX oyun dizüstü bilgisayarı fırsatları bugün Dell’de sadece 699 dolardan başlıyor
ETİKETLENDİ:Açığıağ güvenliğiAmaçlıbilgi Güvenliğibilgisayar GüvenliğiÇalıştırmasınafidye yazılımı kötü amaçlı yazılımgüvenlikhack haberlerihacker haberleriİzinKodKötüNasıl heklenirOpenRefineınSaldırganlarınsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarslipVerebilirveri ihlaliyazılım güvenlik açığıZIP
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Panel, ticari uzay uçuşlarında insan araştırması için gerekli etik kuralların gerekli olduğunu söylüyor
Sonraki Makale Nvidia RTX 3060 sonunda Steam kullanıcıları arasında hak ettiği yeri alıyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Oyun PC’sini oturma odası fanının içine gizledi: Dreo soğutma çözümü
Donanım
Google’ın Yeni Reklamı: AI ile Yazılan Bağımsızlık Bildirgesi
Yapay Zeka
3D Baskılı Nükleer Reaktör Modülüyle AI Veri Merkezleri Güçlenecek
Donanım
24 çekirdekli CPU ve 64GB RAM ile Alienware Area-51’de büyük indirim
Donanım
Aimeos: Laravel için Başsız E-Ticaret Çerçevesi
Yazılım
NASA Acil Görevle Swift Gözlemevini Dünyaya Düşmekten Kurtardı
Liste
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?