Siber Güvenlik Haberleri

04.04.2026 05:00 NCSC-FI Vulns FI

Budibase: Boş Varsayılan Kara Liste ile REST Bağlayıcısında Sunucu Tarafı İstek Sahteciliği

Budibase, 3.33.4 sürümünden önce, REST veri kaynağı bağlayıcısında bir sunucu tarafı istek sahteciliği (SSRF) açığına sahipti. Bu açık, BLACKLIST_IPS ortam değişkeninin varsayılan olarak ayarlanmaması nedeniyle etkisiz hale geliyor.

SSRF Budibase güvenlik açığı

03.04.2026 15:12 SecurityWeek US

Kritik ShareFile Açıkları Kimlik Doğrulamasız RCE'ye Yol Açıyor

ShareFile'deki kritik güvenlik açıkları, kimlik doğrulamasını atlayarak sunucuya rastgele dosyalar yüklenmesine olanak tanıyor. Bu durum, uzaktan kod çalıştırma (RCE) riskini artırıyor.

güvenlik açığı uzaktan kod çalıştırma ShareFile

other 85

Üçüncü Taraf Riskinin Müşterilerinizin Güvenlik Durumundaki En Büyük Boşluk Olması

Müşterilerin güvenlik duruşundaki en büyük boşluk, üçüncü taraf riskleridir. Yeni saldırı yüzeyi, güvenilir tedarikçiler veya bilinmeyen alt yükleniciler aracılığıyla ortaya çıkmaktadır.

03.04.2026 14:00 The Hacker News US

03.04.2026 13:34 NCSC NL Advisories NL

NCSC-2026-0106 [1.00] [M/H] Cisco Entegre Yönetim Kontrolcüsündeki Güvenlik Açıkları Giderildi

Cisco, IMC'nin web tabanlı yönetim arayüzünde bulunan bir dizi güvenlik açığını düzeltmiştir. Bu açıklar, yetkisiz erişim ve komut enjeksiyonu gibi riskler taşımaktadır.

güvenlik açığı Cisco IMC

03.04.2026 11:20 NCSC NL Advisories NL

NCSC-2026-0105 [1.00] [M/H] Cisco Nexus Dashboard ve Nexus Dashboard Insights'taki Güvenlik Açıkları Giderildi

Cisco, Nexus Dashboard ve Nexus Dashboard Insights'taki üç önemli güvenlik açığını düzeltmiştir. Bu açıklar, saldırganların sunucu tarafı istek sahtekarlığı (SSRF) saldırıları gerçekleştirmesine ve sistemin bütünlüğünü tehlikeye atmasına yol açabiliyordu.

Cisco güvenlik açığı Nexus Dashboard

Dosya Tarayıcı: Kayıt Olma, Varsayılan İzinler Yürütme İzinlerini Veriyor

File Browser uygulamasında, varsayılan izinler arasında yürütme izni bulunması nedeniyle, kaydolmuş kullanıcıların sunucuda komut çalıştırabilmesine olanak tanıyan bir güvenlik açığı keşfedildi. Bu sorun, 2.62.2 sürümünde düzeltildi.

güvenlik açığı yürütme izni File Browser

Agno < 2.3.24 alan türü Eval Enjeksiyonu Rastgele Kod Çalıştırma

Agno 2.3.24 öncesi sürümlerinde, eval() fonksiyonuna geçirilen field_type parametresinin manipülasyonu ile saldırganların rastgele Python kodu çalıştırmasına olanak tanıyan bir güvenlik açığı bulunmaktadır.

güvenlik açığı kod çalıştırma siber güvenlik

FastMCP: SSRF ve Path Traversal Açığı

FastMCP, OpenAPI sağlayıcısında bir SSRF ve Path Traversal açığı barındırıyor. Bu açık, saldırganların arka uç uç noktalarına erişim sağlamasına yol açabiliyor ve resmi bir düzeltme ile giderildi.

güvenlik açığı SSRF Path Traversal

OpenProject: Maliyet Raporlamasında SQL Injection Açığı

OpenProject, 17.2.3 sürümünden önceki versiyonlarında, kullanıcı girişlerini SQL WHERE ifadelerine doğrudan ekleyen bir =n operatörü içeriyordu. Bu açık, CVSSv3.1'de 9.9 olarak derecelendirildi ve 17.2.3 sürümünde düzeltildi.

SQL Injection OpenProject Güvenlik Açığı

NocoBase: İş akışı SQL düğümünde şablon değişkeni yerine koyma ile SQL enjeksiyonu

NocoBase, kullanıcıların iş uygulamaları oluşturmasına olanak tanıyan bir platformdur. Ancak, önceki sürümlerinde SQL node'ları üzerinden kullanıcıdan gelen verilerle SQL sorgularında değişkenlerin doğrudan kullanılması, SQL injection saldırılarına yol açıyordu. Bu güvenlik açığı CVE-2026-34825 olarak kaydedildi ve düzeltildi.

SQL injection NocoBase güvenlik açığı

hoppscotch: Cihaz giriş akışında uygunsuz döngü geri yönlendirme URI doğrulaması

Hoppscotch, 2026.3.0 sürümünden önceki sürümlerinde açık yönlendirme zafiyeti barındırıyordu. Bu zafiyet, tokenlerin ele geçirilmesine ve saldırganların kurbanın hesabına giriş yapmasına neden olabiliyordu.