arkadaşlar, splunk enterprise kullananlar toplanın buraya. splunk yeni bir güvenlik güncellemesi yayınladı ve içinde çok kritik bir açık var. CVE-2026-20253 numaralı bu zafiyet CVSS 9.8 puan almış, yani kırmızı alarm seviyesinde 🔴

ne var ne yok

şöyle ki, splunk enterprise’ın 10.2.4 ve 10.0.7 altındaki versiyonlarında kimlik doğrulaması olmadan dosya işlemleri yapılabiliyor. yani hiçbir authentication gerektirmeden uzaktan kod çalıştırma (RCE) mümkün. saldırgan gelip dosya oluşturabiliyor, silebiliyor, hatta sistem üzerinde kod çalıştırabiliyor.

kısacası: herhangi bir kullanıcı adı-şifre sormadan sisteminize girebiliyorlar. klasik “kapıyı açık unuttuk” vakası.

…

arkadaşlar, yeni bir fidye yazılımı çetesi var: “the gentlemen” diyorlar kendilerine. adı kibar ama işleri hiç kibar değil. 478 kurban toplamışlar ve en kötüsü bu yazılım solucan gibi yayılabiliyormuş.

ne olmuş yani

the gentlemen ekibi başlangıçta lockbit, qilin ve medusa gibi ransomware-as-a-service (raas) operasyonlarının affiliate’i olarak çalışmış. yani başkalarının altyapısını kullanarak saldırı yapıyorlarmış. sonra “biz de kendi fidye yazılımımızı yapalım” demişler ve ortaya çıkmışlar.

spoiler: bu arkadaşlar double extortion (çifte haraç) yöntemi kullanıyorlar. yani hem dosyalarınızı şifreliyor, hem de çalıp “para vermezsen sızdırırım” diyorlar. klasik hareket artık.

…

arkadaşlar, oracle peoplesoft’ta ciddi bir sıfır-gün açığı var ve aktif olarak sömürülüyor. CVE-2026-35273 diye geçiyor bu zafiyet, shinyhunter denen veri hırsızları kullanmış bile bunu. yani şaka değil, acil yamalayın.

ne var ne yok

peoplesoft suite’te kimlik doğrulama gerektirmeyen uzaktan kod çalıştırma (RCE) açığı bulunmuş. yani saldırgan hiçbir kullanıcı adı-şifre olmadan sisteme girebiliyor ve istediği kodu çalıştırabiliyor.

spoiler: shinyhunter grubu bu açığı kullanarak şirketlerden veri çalmış bile. oracle acil yama çıkarmış durumda.

…

arkadaşlar, yapay zeka agent’ları ile uğraşıyorsanız kulağınızı çevirebilirsiniz. langgraph’ta kritik seviyede bir açık zinciri bulunmuş ve yamalar yayınlanmış durumda. uzaktan kod çalıştırma (rce) denen bela yine kapıda.

olay nedir?

langgraph, langchain’in geliştirdiği açık kaynaklı bir framework. karmaşık, stateful ve multi-agent ai uygulamaları geliştirmek için kullanılıyor. güvenlik araştırmacıları burada toplam 3 tane zafiyet bulmuş ve bunlar zincir halinde kullanılınca self-hosted ai agent’larınız tehlikeye giriyor.

spoiler: en kritik olanı sql injection açığı. langgraph’ın bir fonksiyonunda sql injection var ve bu sayede saldırgan sisteme sızabiliyor.

…

arkadaşlar, langflow diye bir araç var, yapay zeka iş akışları oluşturmak için kullanılıyor. mart ayında açıklanan bir zafiyet şimdi aktif olarak sömürülüyor. ciddi ciddi hemen müdahale edin.

ne olmuş yani?

langflow’da kimlik doğrulama gerektirmeyen bir zafiyet var. saldırganlar bu açık sayesinde sisteme istediği yere dosya yazabiliyor, ardından da uzaktan kod çalıştırma (RCE) denen belayı yapıyor. yani kısacası sisteminize girmişler demektir.

zafiyet mart ayında açıklanmış ama şimdi wild’da (yani gerçek saldırılarda) kullanılıyor. CVE-2025-2196 numaralı bu açık, saldırganların sisteminize dosya yazıp sonra o dosyaları çalıştırmasına izin veriyor.

…

arkadaşlar, ai uygulamaları geliştirmek için kullanılan langflow’da ciddi bir açık var ve aktif olarak sömürülüyor. CVE-2026-5027 numaralı bu zafiyet için henüz yama yok, yani şu an savunmasızsınız.

vulncheck’in tespitlerine göre bu açık vahşi doğada kullanılıyor. langflow dediğimiz şey low-code bir platform, yani yapay zeka uygulamalarını kod yazmadan oluşturabiliyorsunuz. güzel de, işte tam burada sorun başlıyor.

ne var ne yok

CVE-2026-5027 bir path traversal (yol dolaşma) açığı. kısacası saldırgan, sistemin istediği yerine dosya yazabiliyor. CVSS skoru 8.8, yani ciddi seviyede bir açık 🟠

…

arkadaşlar, cisa (yani amerikan siber güvenlik altyapı ajansı) yeni bir direktif yayınladı ve bu sefer şakası yok. federal kurumlara “kritik ve aktif sömürülen açıkları 3 gün içinde yamalayın” diyor. klasik “bi ara bakarız” mantığına son veriyorlar yani.

ne olmuş peki

cisa, binding operational directive 26-04 diye bir yönerge çıkarmış. bu yönerge federal sivil yönetim kurumlarına (fceb) yönelik ve güvenlik güncellemelerini önceliklendiriyor. şöyle ki:

• kritik açıklar (cvss 9.0+) ve aktif sömürülen zafiyetler: 3 gün içinde yamalanacak
• yüksek öncelikli açıklar (cvss 7.0-8.9): 15 gün içinde yamalanacak
• diğer açıklar için de süreler var ama bunlar en acilleri

spoiler: bu direktif 11 haziran 2026’dan itibaren geçerli. yani artık “bakarız abi” dönemi bitti federal kurumlar için.

…

arkadaşlar, fidye yazılımı dünyasında yeni bir oyuncu var: the gentlemen. bu grup, kurban sayısında ikinci en aktif ransomware çetesi olmuş. peki nasıl bu kadar hızlı büyüdüler? cevap basit: para, bol para.

işin özeti

the gentlemen, hackerları işe alırken çok cömert davranıyor. kurbanlardan alınan fidyenin %90’ını affiliate’lere (yani onlar için çalışan hackerlara) veriyor. klasik ransomware grupları genelde %70-80 civarı verirken, bu rakam ciddi anlamda cazip. yani “gel bize çalış, paranın çoğunu sen al” diyorlar.

…

arkadaşlar, protobuf.js kütüphanesinde 6 tane ciddi zafiyet bulunmuş. bu kütüphane protocol buffers’ın javascript/typescript implementasyonu, yani node.js dünyasında oldukça yaygın kullanılıyor. güvenlik araştırmacıları “proto6” adını vermişler bu zafiyet setine.

spoiler: tek bir kötü niyetli protobuf şeması, descriptor ya da crafted payload yeterli olabilir bu açıkları tetiklemek için. yani ciddi ciddi bakmak lazım bu işe.

ne var ne yok bu proto6 olayında

protobuf.js kütüphanesinde bulunan bu 6 zafiyet, başarılı bir şekilde sömürüldüğünde iki ana soruna yol açabiliyor:

…

arkadaşlar, veeam backup & replication’da ciddi bir açık bulunmuş. CVE-2026-44963 numaralı bu zafiyet sayesinde domain kullanıcıları bile backup sunucusunda uzaktan kod çalıştırabiliyor. yani şöyle ki, normalde yedek işleriyle alakası olmayan bir domain kullanıcısı bile bu açığı kullanarak backup sunucunuza girebilir, kod çalıştırabilir.

spoiler: cvss skoru 9.4, yani kritik seviyede. hemen yamalayın bunu.

ne var ne yok bu açıkta

CVE-2026-44963 açığı, authenticated bir domain kullanıcısının (yani domain’e giriş yapabilen herhangi bir kullanıcı) backup sunucusunda uzaktan kod çalıştırmasına (rce - remote code execution) izin veriyor.

…