Amazon Bedrock LangSmith SGLang AI Güvenlik Açıkları
AI framework'lerinde kritik güvenlik açıkları tespit edildi.
Siber güvenlik araştırmacıları AI kod yürütme ortamlarından veri sızdırma yöntemi ortaya çıkardı.
DNS ile Veri Sızdırma
BeyondTrust raporuna göre Amazon Bedrock AgentCore sandbox modu ağ izolasyonunu atlayarak veri sızdırma ve RCE saldırılarına imkan tanıyor (CVSS: 7.5).
Saldırı Senaryosu
Saldırganlar DNS sorgularını kullanarak komuta kontrol kanalları kurabiliyor, reverse shell elde edebiliyor ve S3 verilerini sızdırabiliyor.
Amazon'un Yanıtı
Amazon durumu amaçlanan işlevsellik olarak değerlendirdi. VPC modu kullanımı öneriliyor.
LangSmith Açığı
Migdo Security LangSmith'de CVE-2026-25750 (CVSS: 8.5) açığı buldu. URL parametre enjeksiyonu bearer token çalınmasına olanak tanıyor. Versiyon 0.12.71 ile düzeltildi.
SGLang RCE Açıkları
- CVE-2026-3059 (CVSS: 9.8) - ZeroMQ broker RCE
- CVE-2026-3060 (CVSS: 9.8) - Disaggregation modülü RCE
- CVE-2026-3989 (CVSS: 7.8) - Güvensiz pickle deserialization
Korunma
- VPC moduna geçin
- DNS firewall kullanın
- IAM rollerini kısıtlayın
- LangSmith'i güncelleyin
Kaynak: thehackernews.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.