<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>aşımı &#8211; Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri</title>
	<atom:link href="https://teknomers.com/tag/asimi/feed/" rel="self" type="application/rss+xml" />
	<link>https://teknomers.com</link>
	<description>Güncel Spor &#124; Oyun &#124; Teknoloji &#124; Haberleri &#124; Bilimsel Gelişmeler &#124; Uzay &#124; Siber Güvenlik &#124; Blog Yazıları</description>
	<lastBuildDate>Thu, 14 May 2026 12:44:02 +0000</lastBuildDate>
	<language>tr</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0.1</generator>
	<item>
		<title>Acil: PraisonAI CVE-2026-44338 Yetki Aşımı Açığa Çıktı!</title>
		<link>https://teknomers.com/acil-praisonai-cve-2026-44338-yetki-asimi-aciga-cikti/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Thu, 14 May 2026 12:43:52 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[Acil]]></category>
		<category><![CDATA[açığa]]></category>
		<category><![CDATA[aşımı]]></category>
		<category><![CDATA[çıktı]]></category>
		<category><![CDATA[CVE202644338]]></category>
		<category><![CDATA[PraisonAI]]></category>
		<category><![CDATA[Yetki]]></category>
		<guid isPermaLink="false">https://teknomers.com/acil-praisonai-cve-2026-44338-yetki-asimi-aciga-cikti/</guid>

					<description><![CDATA[Giriş Son zamanlarda, açık kaynaklı bir çoklu ajan orkestrasyon çerçevesi olan PraisonAI’de tespit edilen bir güvenlik açığı, siber tehdit aktörleri tarafından kamuya duyurulmasından sadece dört saat sonra istismar edilmeye çalışıldı. Bu durum, güvenlik açıklarının hızla kötüye kullanılmasının artan bir trend haline geldiğini gözler önüne seriyor. Saldırı Nasıl Çalışıyor? Bahsedilen güvenlik açığı, CVE-2026-44338 (CVSS puanı: 7.3) [&#8230;]]]></description>
										<content:encoded><![CDATA[<h2>Giriş</h2>
<p>Son zamanlarda, açık kaynaklı bir çoklu ajan orkestrasyon çerçevesi olan <strong>PraisonAI</strong>’de tespit edilen bir güvenlik açığı, siber tehdit aktörleri tarafından kamuya duyurulmasından sadece dört saat sonra istismar edilmeye çalışıldı. Bu durum, güvenlik açıklarının hızla kötüye kullanılmasının artan bir trend haline geldiğini gözler önüne seriyor.</p>
<h2>Saldırı Nasıl Çalışıyor?</h2>
<p>Bahsedilen güvenlik açığı, <strong>CVE-2026-44338</strong> (CVSS puanı: 7.3) olarak tanımlanmıştır ve kimlik doğrulama eksikliği nedeniyle hassas uç noktaların saldırganlara açık hale gelmesine neden olmaktadır. Bu durum, bir saldırganın API sunucusunun korunan işlevlerini bir token olmaksızın çağırabilmesine olanak tanımaktadır. <strong>PraisonAI</strong> geliştiricilerine göre, <strong>AUTH_ENABLED</strong> değeri devre dışı bırakılmıştır ve <strong>AUTH_TOKEN</strong> ise &#8216;None&#8217; olarak sabitlenmiştir. Bu nedenle, kimlik doğrulama atlaması koşulsuz olarak sağlanmış olmaktadır.</p>
<p>Bu durumda, istismar başarılı olursa ortaya çıkabilecek etkiler şunlardır:</p>
<ul>
<li>Unauthenticated enumeration üzerinden yapılandırılmış ajan dosyasının erişimi (/agents).</li>
<li>Yerel olarak yapılandırılmış &#8220;agents.yaml&#8221; iş akışının kimlik doğrulama olmaksızın tetiklenmesi (/chat).</li>
<li>Model/API kotasının tekrar tekrar tüketilmesi.</li>
<li>PraisonAI.run() sonuçlarının yetkisiz çağrıcılara açılması.</li>
</ul>
<h2>Etkilenen Sistemler</h2>
<p>Bu güvenlik açığı, Python paketinin  2.5.6  ile  4.6.33  arasındaki tüm versiyonlarını etkilemektedir.  4.6.34  sürümünde bu açık kapatılmıştır. Güvenlik araştırmacısı  Shmulik Cohen , hatayı tespit edip bildiren kişi olarak kaydedilmiştir.</p>
<p>Sysdig tarafından yayımlanan bir rapor, bu açığın kamuya duyurulmasından saatler içinde kötüye kullanılmaya yönelik denemelerin gözlemlendiğini bildirmektedir. Rapor, uyarının yayımlandıktan <strong>üç saat kırk dört dakika</strong> sonra, siber hakimiyeti sağlayan bir tarayıcının internet üzerindeki açık uç noktaları taramaya başladığını belirtmektedir.</p>
<h2>Çözüm ve Korunma</h2>
<p>Kullanıcıların, en kısa sürede aşağıdaki önlemleri alması şiddetle tavsiye edilmektedir:</p>
<ul>
<li>En son güvenlik güncellemelerini uygulayın.</li>
<li>Mevcut dağıtımları denetleyin; şüpheli bir etkinlik varsa hesabınızı gözden geçirin.</li>
<li>“agents.yaml” dosyasında geçerli olan kimlik bilgilerini değiştirin.</li>
</ul>
<p>Sysdig, &#8220;Kötü niyetli araçlar, AI ve ajan ekosistemi üzerinde ölçeklenmiş durumda. Bu durumda, kimlik doğrulama gerektirmeyen varsayılan ayarlarla gönderilen herhangi bir projede, bilgi sızdırma ile istismar arasındaki sürenin saatler değil, dakikalar ile ölçüldüğünü varsaymak gerekir,&#8221; demektedir.</p>
<p>Sonuç olarak, sistem yöneticileri ve kullanıcılar, bu tür açıkların etkisini minimize etmek için üst düzey önlem almalı, güncellemeleri takip etmeli ve sistemdeki yapılandırmaları düzenli olarak gözden geçirmelidir.</p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2026/05/Acil-PraisonAI-CVE-2026-44338-Yetki-Asimi-Aciga-Cikti.jpg" />	</item>
		<item>
		<title>FreePBX&#8217;teki Kritik SQLi ve Oturum Aşımı Açıkları Hızla Düzeltildi!</title>
		<link>https://teknomers.com/freepbxteki-kritik-sqli-ve-oturum-asimi-aciklari-hizla-duzeltildi/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Mon, 15 Dec 2025 15:22:30 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[Açıkları]]></category>
		<category><![CDATA[aşımı]]></category>
		<category><![CDATA[Computer security]]></category>
		<category><![CDATA[cyber attacks]]></category>
		<category><![CDATA[cyber news]]></category>
		<category><![CDATA[cyber security news]]></category>
		<category><![CDATA[cyber security news today]]></category>
		<category><![CDATA[cyber security updates]]></category>
		<category><![CDATA[cyber updates]]></category>
		<category><![CDATA[data breach]]></category>
		<category><![CDATA[Düzeltildi]]></category>
		<category><![CDATA[FreePBXteki]]></category>
		<category><![CDATA[hacker news]]></category>
		<category><![CDATA[hacking news]]></category>
		<category><![CDATA[Hızla]]></category>
		<category><![CDATA[how to hack]]></category>
		<category><![CDATA[information security]]></category>
		<category><![CDATA[Kritik]]></category>
		<category><![CDATA[network security]]></category>
		<category><![CDATA[Oturum]]></category>
		<category><![CDATA[ransomware malware]]></category>
		<category><![CDATA[software vulnerability]]></category>
		<category><![CDATA[SQLi]]></category>
		<category><![CDATA[the hacker news]]></category>
		<guid isPermaLink="false">https://teknomers.com/freepbxteki-kritik-sqli-ve-oturum-asimi-aciklari-hizla-duzeltildi/</guid>

					<description><![CDATA[Dec 15, 2025Ravie LakshmananVulnerability / Software Security FreePBX Güvenlik Açıkları ve Riskleri FreePBX, açık kaynaklı bir özel santralladır ve son zamanlarda önemli bir güvenlik riski ile gündeme gelmiştir. Horizon3.ai tarafından keşfedilen bu güvenlik açıkları, özellikle kritik bir zafiyet olan kimlik doğrulama bypass&#8217;ı içermektedir. Bu yazıda, FreePBX gibi sistemlerin güvenliğini tehdit eden bu zafiyetler ve alınması [&#8230;]]]></description>
										<content:encoded><![CDATA[
<div>
<p><span class="p-author"><i class="icon-font icon-calendar"></i><span class="author">Dec 15, 2025</span><i class="icon-font icon-user"></i><span class="author">Ravie Lakshmanan</span></span><span class="p-tags">Vulnerability / Software Security</span></p>
</div>
<h2>FreePBX Güvenlik Açıkları ve Riskleri</h2>
<p>FreePBX, açık kaynaklı bir özel santralladır ve son zamanlarda önemli bir güvenlik riski ile gündeme gelmiştir. Horizon3.ai tarafından keşfedilen bu güvenlik açıkları, özellikle kritik bir zafiyet olan kimlik doğrulama bypass&#8217;ı içermektedir. Bu yazıda, FreePBX gibi sistemlerin güvenliğini tehdit eden bu zafiyetler ve alınması gereken önlemler ele alınacaktır.</p>
<h3>CVE-2025-61675: SQL Enjeksiyonu Açığı</h3>
<p>Bu zafiyet, FreePBX&#8217;in dört farklı uç noktasındaki SQL enjeksiyonunu mümkün kılmaktadır. CVSS skoru 8.6 olan bu açık, kullanıcıların veritabanına izinsiz okuma ve yazma erişimi elde etmesine yol açmaktadır. Bu durum, sisteme saldıran kişilerin kritik verilere ulaşmasını sağlayabilir ve dolayısıyla büyük bir risk taşımaktadır.</p>
<h3>CVE-2025-61678: Yetkisiz Dosya Yükleme</h3>
<p>FreePBX&#8217;teki diğer bir önemli zafiyet ise, yetkili bir kişi tarafından dosya yüklenmesine olanak tanıyan bir açıdır. Bu açık sayesinde, saldırganlar zararlı PHP web shell dosyaları yükleyerek sistemde uzaktan kod çalıştırma olanağına sahip olabilirler. Bu tür saldırılar, özellikle hassas dosyalara erişim sağlama gibi ciddi sonuçlar doğurabilir.</p>
<h3>CVE-2025-66039: Kimlik Doğrulama Bypass Açığı</h3>
<p>Ayrıca, FreePBX&#8217;in bir başka kritik zafiyeti, kimlik doğrulama bypass&#8217;ıdır. &#8220;Authorization Type&#8221; ayarının &#8220;webserver&#8221; olarak belirlendiği durumlarda, saldırganlar, sahte bir yetkilendirme başlığı göndererek yöneticinin kontrol paneline girebilmektedir. Bu açığın CVSS skoru 9.3&#8217;tür ve ciddi bir tehlike arz etmektedir.</p>
<h2>Kaynaklanan Tehditler</h2>
<p>Bu zafiyetler, hem kimlik doğrulamalı hem de kimlik doğrulamayı atlatabilen saldırganların uzaktan kod yürütmesine olanak tanımaktadır. Normalde, bu güvenlik açıklarının FreePBX&#8217;in varsayılan yapılandırmasında geçerli olmadığını belirtmek önemlidir. Ancak, belirli ayarların etkinleştirilmesi durumunda bu zafiyetler saldırganlar tarafından kolayca kötüye kullanılabilir.</p>
<h2>Zafiyetlerin Giderilmesi</h2>
<p>Bu güvenlik açıkları, FreePBX&#8217;in 16.0.92 ve 17.0.6 sürümlerinde giderilmiştir. Kullanıcıların, &#8220;Authorization Type&#8221; ayarını &#8220;usermanager&#8221; olarak belirlemeleri, geçici bir önlem olarak önerilmektedir. Ayrıca, sistemi yeniden başlatmaları ve olası kötü niyetli oturumları kapatmaları da tavsiye edilmektedir.</p>
<h2>Sonuç ve Öneriler</h2>
<p>FreePBX kullanıcıları için en iyi uygulama, &#8220;webserver&#8221; kimlik doğrulama tipinin kullanımdan kaçınılmasıdır. Saldırganların bu zafiyetleri istismar edebilmesi için yeterli bilgi ve araçlara sahip olduğu göz önüne alındığında, sistemdeki güvenlik önlemlerinin güçlendirilmesi kritik bir önem taşımaktadır.</p>
<p>Güvenlik açıklarının etkilerini en aza indirmek için, kullanıcıların sistemlerini düzenli olarak güncellemeleri ve güvenlik kontrolleri gerçekleştirmeleri önerilmektedir. Böylece, olası saldırılara karşı bir nevi sigorta sağlanmış olacaktır.</p>
</div>

<p><a href="https://teknomers.com/category/siber-guvenlik/" rel="dofollow">Güncel Siber Güvenlik Haberleri &#8211; 1</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2025/12/FreePBXteki-Kritik-SQLi-ve-Oturum-Asimi-Aciklari-Hizla-Duzeltildi.jpg" />	</item>
		<item>
		<title>ASUS AiCloud Yönlendiricilerinde Kritik Yetki Aşımı Açıklarına Dikkat!</title>
		<link>https://teknomers.com/asus-aicloud-yonlendiricilerinde-kritik-yetki-asimi-aciklarina-dikkat/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Wed, 26 Nov 2025 11:52:46 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[açıklarına]]></category>
		<category><![CDATA[AiCloud]]></category>
		<category><![CDATA[aşımı]]></category>
		<category><![CDATA[Asus]]></category>
		<category><![CDATA[Dikkat]]></category>
		<category><![CDATA[Kritik]]></category>
		<category><![CDATA[Yetki]]></category>
		<category><![CDATA[yönlendiricilerinde]]></category>
		<guid isPermaLink="false">https://teknomers.com/asus-aicloud-yonlendiricilerinde-kritik-yetki-asimi-aciklarina-dikkat/</guid>

					<description><![CDATA[ASUS AiCloud Yönlendiricilerinde Kritik Güvenlik Açığı ASUS, AiCloud özelliğine sahip yönlendiricilerde bulunan kritik bir kimlik doğrulama atlama açığını içeren dokuz güvenlik açığını düzeltmek için yeni bir yazılım güncellemesi yayınladı. AiCloud Nedir? AiCloud, birçok ASUS yönlendiricisinde bulunan bulut tabanlı bir uzaktan erişim özelliğidir. Bu özellik, yönlendiricileri özel bulut sunucularına dönüştürerek uzaktan medya akışı ve bulut depolama [&#8230;]]]></description>
										<content:encoded><![CDATA[
<div>
<p style="text-align:center">
<h2>ASUS AiCloud Yönlendiricilerinde Kritik Güvenlik Açığı</h2>
<p>ASUS, AiCloud özelliğine sahip yönlendiricilerde bulunan kritik bir kimlik doğrulama atlama açığını içeren dokuz güvenlik açığını düzeltmek için yeni bir yazılım güncellemesi yayınladı.</p>
<h3>AiCloud Nedir?</h3>
<p>AiCloud, birçok ASUS yönlendiricisinde bulunan bulut tabanlı bir uzaktan erişim özelliğidir. Bu özellik, yönlendiricileri özel bulut sunucularına dönüştürerek uzaktan medya akışı ve bulut depolama hizmeti sunar. Ancak, bu özellik aynı zamanda güvenlik risklerini de beraberinde getirmektedir.</p>
<h3>CVE-2025-59366 Açığı ve Etkileri</h3>
<p>ASUS&#8217;un açıkladığına göre, <a rel="nofollow noopener" href="https://nvd.nist.gov/vuln/detail/CVE-2025-59366" target="_blank">CVE-2025-59366</a> açığı, Samba işlevinin beklenmeyen bir yan etkisi sonucunda tetiklenebiliyor. Bu durum, belirli fonksiyonların uygun yetkilendirme olmaksızın çalıştırılmasına neden olabiliyor. Uzaktan saldırganlar, kimlik doğrulama gerektirmeyen, düşük karmaşıklığa sahip bir yol geçişi ve işletim sistemi komut enjeksiyonu zayıflığı kullanarak bu açığı kötüye kullanabilirler.</p>
<h3>Kullanıcıların Alması Gereken Önlemler</h3>
<p>ASUS, kullanıcıların cihazlarını korumak için hemen yönlendirici yazılımlarını güncellemelerini önemle tavsiye etmektedir. Şirket, kullanıcıların yönlendiricilerini en son yazılım ile güncellemelerinin önemini vurguluyor:</p>
<p>“Cihazlarınızı korumak için, tüm kullanıcıların yönlendirici yazılımlarını derhal en son versiyonla güncellemeleri önerilmektedir.”</p>
<table align="center" cellspacing="0" style="border-collapse:collapse; width:390px">
<tbody>
<tr>
<td style="background-color:#eeeeee; width:221px"><strong>Firmware</strong></td>
<td style="background-color:#eeeeee; width:161px"><strong>CVE</strong></td>
</tr>
<tr>
<td style="width:221px">
<p>3.0.0.4_386 series</p>
</td>
<td rowspan="3" style="width:161px">CVE-2025-59365<br />
CVE-2025-59366<br />
CVE-2025-59368<br />
CVE-2025-59369<br />
CVE-2025-59370<br />
CVE-2025-59371<br />
CVE-2025-59372<br />
CVE-2025-12003</td>
</tr>
<tr>
<td style="width:221px">
<p>3.0.0.4_388 series</p>
</td>
</tr>
<tr>
<td style="width:221px">
<p>3.0.0.6_102 series</p>
</td>
</tr>
</tbody>
</table>
<p>ASUS, hangi yönlendirici modellerinin etkilendiğini belirtmedi ancak güncelleme almayacak olan uç birim kullanıcıları için bazı hafifletme önlemleri sundu. Kullanıcılar, yönlendiricilerini yamalamadan potansiyel saldırıları engellemek için, uzaktan erişime açık olan WAN, port yönlendirme, DDNS, VPN sunucusu, DMZ, port tetikleme ve FTP gibi hizmetleri devre dışı bırakmaları öneriliyor.</p>
<h3>Ayrıca Alınması Gereken Güvenlik Önlemleri</h3>
<p>Kullanıcıların yönlendirici yönetim sayfası ve kablosuz ağları için güçlü parolalar kullanarak saldırı yüzeyini küçültmeleri teşvik edilmektedir. Önceki bir güvenlik açığı olan <a rel="nofollow noopener" href="https://nvd.nist.gov/vuln/detail/CVE-2025-2492" target="_blank">CVE-2025-2492</a> bu yılın Nisan ayında düzeltildi ve bu açık da AiCloud&#8217;u hedef alıyordu.</p>
<p>Deneyimli güvenlik uzmanları, eski veya güncel olmayan cihazları hedef alan bu saldırıların arkasındaki nedenlerin daha derin olduğunu ve bu tür saldırıların giderek daha karmaşık hale geldiğini belirtiyorlar. Kullanıcıların, yönlendiricilerini güncel tutarak ve gerekli güvenlik önlemlerini alarak bu tür sorunları minimuma indirebilecekleri unutulmamalıdır.</p>
<p>ASUS&#8217;un yayınladığı son güncellemeler, kullanıcıların cihazlarını güvende tutmaları açısından önemlidir. Sürekli güncelleme ve robust bir güvenlik protokolü izlemek, siber tehditlere karşı en etkili korunma yoludur.</p>
</div>

<p><a href="https://teknomers.com/category/siber-guvenlik/" rel="dofollow">Güncel Siber Güvenlik Haberleri &#8211; 2</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2025/11/ASUS-AiCloud-Yonlendiricilerinde-Kritik-Yetki-Asimi-Aciklarina-Dikkat.jpg" />	</item>
		<item>
		<title>Wiz, AI Destekli Base44 Kodlama Platformunda Erişim Aşımı Hatası Buldu.</title>
		<link>https://teknomers.com/wiz-ai-destekli-base44-kodlama-platformunda-erisim-asimi-hatasi-buldu/</link>
		
		<dc:creator><![CDATA[teknomers]]></dc:creator>
		<pubDate>Tue, 29 Jul 2025 16:57:01 +0000</pubDate>
				<category><![CDATA[Siber Güvenlik]]></category>
		<category><![CDATA[aşımı]]></category>
		<category><![CDATA[Base44]]></category>
		<category><![CDATA[Buldu]]></category>
		<category><![CDATA[Computer security]]></category>
		<category><![CDATA[cyber attacks]]></category>
		<category><![CDATA[cyber news]]></category>
		<category><![CDATA[cyber security news]]></category>
		<category><![CDATA[cyber security news today]]></category>
		<category><![CDATA[cyber security updates]]></category>
		<category><![CDATA[cyber updates]]></category>
		<category><![CDATA[data breach]]></category>
		<category><![CDATA[destekli]]></category>
		<category><![CDATA[Erişim]]></category>
		<category><![CDATA[hacker news]]></category>
		<category><![CDATA[hacking news]]></category>
		<category><![CDATA[Hatası]]></category>
		<category><![CDATA[how to hack]]></category>
		<category><![CDATA[information security]]></category>
		<category><![CDATA[kodlama]]></category>
		<category><![CDATA[network security]]></category>
		<category><![CDATA[platformunda]]></category>
		<category><![CDATA[ransomware malware]]></category>
		<category><![CDATA[software vulnerability]]></category>
		<category><![CDATA[the hacker news]]></category>
		<category><![CDATA[WiZ]]></category>
		<guid isPermaLink="false">https://teknomers.com/2025/07/29/wiz-ai-destekli-base44-kodlama-platformunda-erisim-asimi-hatasi-buldu/</guid>

					<description><![CDATA[Siber Güvenlikte Kritik Açık: Base44&#8217;teki Sorunlar Son günlerde, siber güvenlik araştırmacıları, popüler bir kodlama platformu olan Base44&#8216;te tespit edilen kritik bir güvenlik açığını duyurdu. Bu açık, kullanıcılara ait özel uygulamalara yetkisiz erişim sağlama potansiyeli taşıyor. Özellikle, kullanıcıların uygulama geliştirme süreçlerinde büyük kolaylıklar sunan bu platformda, yaşanan sorun, güvenlik açısından dikkate değer bir endişe yaratıyor. Açığın [&#8230;]]]></description>
										<content:encoded><![CDATA[<h2>Siber Güvenlikte Kritik Açık: Base44&#8217;teki Sorunlar</h2>
<p>Son günlerde, <strong>siber güvenlik</strong> araştırmacıları, popüler bir kodlama platformu olan <strong>Base44</strong>&#8216;te tespit edilen kritik bir güvenlik açığını duyurdu. Bu açık, kullanıcılara ait özel uygulamalara <strong>yetkisiz erişim</strong> sağlama potansiyeli taşıyor. Özellikle, kullanıcıların uygulama geliştirme süreçlerinde büyük kolaylıklar sunan bu platformda, yaşanan sorun, güvenlik açısından dikkate değer bir endişe yaratıyor.</p>
<h2>Açığın Basitliği ve Etkisi</h2>
<p>Söz konusu açığın keşfine dair detaylar, buluşu gerçekleştiren siber güvenlik firması <strong>Wiz</strong> tarafından paylaşıldı. Yapılan açıklamada, saldırganların yalnızca açık kaynaklı olan bir <strong>app_id</strong> değeri ile doğrulanmamış kayıt ve e-posta doğrulama uç noktalarına erişim sağlayabileceği belirtildi. Bu, kullanıcıların <strong>bir hesap açmasına</strong> ve özel uygulamalara erişmesine olanak tanıyor. Yapılan araştırmalar, bu açığın, <strong>tek oturum açma (SSO)</strong> koruma mekanizmalarını da aşarak, hedef uygulamalara tam erişim sağladığını ortaya koydu.</p>
<h2>Base44&#8217;teki Teknik Sorunlar</h2>
<p>Base44&#8217;teki bu açık, iki <strong>kimlik doğrulama</strong> ile ilgili uç noktanın uygun şekilde konfigüre edilmediğinden kaynaklanıyor. Özellikle, <strong>api/apps/{app_id}/auth/register</strong> ve <strong>api/apps/{app_id}/auth/verify-otp</strong> gibi uç noktalar, hiçbir kısıtlama olmaksızın erişime açılmış. Bu durum, herhangi bir kişi tarafından yalnızca &#8220;app_id&#8221; değeri kullanılarak özel uygulamalar için kayıt olunmasına ve e-posta doğrulamasının gerçekleştirilmesine olanak tanıyor.</p>
<p>Wiz&#8217;in araştırmacısı <strong>Gal Nagli</strong>, bu güvenlik açığı sayesinde kullanıcıların uygulamaların sayfalarına geçiş yaparak kimlik doğrulamayı geçtiğini ve özel uygulamalara izinsiz erişim sağladığını belirtti.</p>
<h2>Yapay Zeka Güvenlik Terimleri</h2>
<p>Vibe kodlama, yapay zeka destekli bir yaklaşım olup, kullanıcıların yalnızca bir metin istemi ile uygulama kodu oluşturmasına imkân tanıyor. Ancak bu sistemlerin popülaritesi, birlikte gelen güvenlik sorunlarını da ortaya çıkarıyor. <strong>Gelir</strong> kaynağı ve veri gizliliği açısından önemli olan özel uygulamalar, bu tür açıklar sayesinde büyük risklerle karşı karşıya kalıyor.</p>
<p>Son zamanlarda haberlerde yer alan diğer siber saldırı türleri, <strong>prompt injection</strong> saldırıları, <strong>jailbreak</strong> ve <strong>çıkarım hataları</strong> gibi kavramları içeriyor. Bu tür saldırılar, yapay zeka sistemlerinin manipüle edilerek yanlış sonuçlar vermesine neden olabiliyor. Dolayısıyla, güvenlik endişeleri daha da derinleşiyor.</p>
<h2>Yapay Zeka Sistemlerini Güçlendirmek</h2>
<p><strong>Wiz</strong>, sorunun çözülmesinin ardından, Base44&#8217;e yönelik resmi bir düzeltmenin 24 saat içinde yapıldığını açıkladı. Ancak, ortada kötü niyetli bir istismarın yapılmadığına dair herhangi bir kanıt bulunmamakta. Bu durum, kullanıcıların verilerinin <strong>güvende</strong> olmadığı gerçeğini değiştirmiyor.</p>
<p>Araştırmalar, yapay zekanın gelişim sürecinin hızla değiştiğini ve bu platformların temeline güvenlik inşa etmenin bir zorunluluk haline geldiğini gösteriyor. <strong>Invariant Labs</strong>, aynı zamanda <strong>toxik flow analizi</strong> (TFA) gibi yeni güvenlik yöntemlerini geliştirdi. Bu yöntem, yapay zeka sistemlerinin potansiyel saldırılara karşı korunması için önceden tahmin yapabilmeyi sağlıyor.</p>
<h2>Geleneksel Güvenlik Riskleri ve Yeni Tehditler</h2>
<p>Açıklanan açık ve diğer özellikler, yapay zeka sistemlerinin dahi geleneksel güvenlik riskleriyle karşılaşabileceğini ortaya koyuyor. <strong>MCP (Model Control Protocol)</strong> sunucularının birçokunun internete erişiminin olduğu ve kimlik doğrulama mekanizmalarının olmadığı tespit edilmiştir. Bu sunucular, siber suçluların <strong>OAuth</strong> token&#8217;ları, <strong>API anahtarları</strong> ve veritabanı kimlik bilgilerine ulaşabilecekleri kritik veriler içerebilir.</p>
<p><strong>Knostic</strong> tarafından yapılan açıklamada, saldırganların bu tür verileri elde etme potansiyelinin yanı sıra, kullanıcıların sahip olduğu diğer hizmetlere de erişim sağlayabileceği belirtiliyor.</p>
<p>Sonuç olarak, yapay zeka sistemlerinin güvenliği, gelişim hızına bağlı olarak sürekli bir tehdit altında. Bu nedenle, gelecekte benzer açıkların meydana gelmemesi için güvenlik önlemlerinin arttırılması şart. Data ve kaynakların korunması, sadece güncel güvenlik tedbirleriyle sağlanamaz; aynı zamanda sistemlerin başlangıçta güvenli bir şekilde tasarlanması da gereklidir.</p>
<p><a href="https://teknomers.com/category/siber-guvenlik/" rel="dofollow">Güncel Siber Güvenlik Haberleri &#8211; 1</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://teknomers.com/wp-content/uploads/2025/07/Wiz-AI-Destekli-Base44-Kodlama-Platformunda-Erisim-Asimi-Hatasi-Buldu.jpg" />	</item>
	</channel>
</rss>
