PRINCIPAL DATA SECURITY CONSULTANT

CISA, GitLab Topluluğu ve Enterprise Sürümleri SSRF’nin Saldırılarda Sömürülen Güvenlik Açığı Hakkında Uyardı

2 min read
6 gün ago Seyhan Tekelioğlu
Known Exploited Vulnerabilities (KEV) kataloğuna kritik bir GitLab güvenlik açığı eklendi. Tehdit aktörleri, GitLab Community ve Enterprise sürümlerindeki bir sunucu tarafı istek sahteciliği (SSRF) kusurundan aktif olarak yararlanmaktadır. CVE -2021 -39935 olarak izlenen güvenlik açığı, GitLab'ın etkilenen sürümlerini kullanan kuruluşlar için önemli riskler oluşturmaktadır. SSRF güvenlik açığı, yetkisiz harici saldırganların GitLab'ın CI Lint API'si aracılığıyla…

Known Exploited Vulnerabilities (KEV) kataloğuna kritik bir GitLab güvenlik açığı eklendi. Tehdit aktörleri, GitLab Community ve Enterprise sürümlerindeki bir sunucu tarafı istek sahteciliği (SSRF) kusurundan aktif olarak yararlanmaktadır. CVE -2021 -39935 olarak izlenen güvenlik açığı, GitLab'ın etkilenen sürümlerini kullanan kuruluşlar için önemli riskler oluşturmaktadır. SSRF güvenlik açığı, yetkisiz harici saldırganların GitLab'ın CI Lint API'si aracılığıyla sunucu tarafı istekleri gerçekleştirmesine izin verir. Bu API genellikle GitLab CI/CD yapılandırma dosyalarını doğrulamak için kullanılır. Bununla birlikte, güvenlik açığı, kötü niyetli aktörlerin GitLab sunucusundan dahili veya harici sistemlere hazırlanmış istekler göndermek için onu kötüye kullanmasına olanak tanır. Sunucu tarafı istek sahteciliği saldırıları tehlikelidir, çünkü saldırganların ağ güvenlik kontrollerini atlamasına ve aksi takdirde ağ dışından erişilemeyecek iç kaynaklara erişmesine izin verir. FieldDetailsProductGitLab Community & EnterpriseCVE IDCVE -2021 -39935TypeSSRFDescriptionSSRF error via CI Lint API enabling unauthorized server – side requestsCWECWE -918

Bu güvenlik açığından yararlanmak, tehdit aktörlerinin dahili ağları taramasını, bulut meta veri hizmetlerinden hassas verilere erişmesini veya uygun kimlik doğrulaması olmayan dahili API'lerle etkileşime girmesini sağlayabilir. CISA'nın 3 Şubat 2026 'da CVE -2021 -39935' i KEV kataloğuna dahil etme kararı, güvenlik araştırmacılarının veya devlet kurumlarının gerçek dünyadaki saldırılarda aktif sömürü girişimlerini gözlemlediklerini göstermektedir. Belirli saldırı kampanyaları kamuya açıklanmamış olsa da ajansın uyarısı, kötü niyetli aktörlerin savunmasız GitLab örneklerine karşı bu güvenlik açığından yararlandığını gösteriyor. Güvenlik açığı, GitLab'ın hem Topluluk hem de Kurumsal sürümlerini etkiler, bu da bu sürümleri çalıştıran her boyuttaki kuruluşun risk altında olabileceği anlamına gelir.

Kaynak: Cyber Security News

Yayin Tarihi: 04.02.2026 12:41

Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.

Görüntülenme: 8
Tags:

Benzer Yazılar

2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

7 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

19 saat ago Seyhan Tekelioğlu
2 min read

PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

1 gün ago Seyhan Tekelioğlu

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bunlara bir göz atın

2 min read

CISA, Fidye Yazılımı Saldırılarında Sömürülen VMware ESXi 0 Günlük Güvenlik Açığına Karşı Uyardı

7 saat ago Seyhan Tekelioğlu
2 min read

Amaranth – Dragon, Mağdur Sistemlerine Kalıcı Kazanç Sağlamak için WinRAR Kırılganlığını Sömürüyor

19 saat ago Seyhan Tekelioğlu
2 min read

PowerShell Komutlarını Yürütmek için ClickFix Komut Dosyasında DNS txt Kayıtlarını Kullanan Saldırganlar

1 gün ago Seyhan Tekelioğlu
2 min read

Teknik Destek Dolandırıcılık Kitini Zorlamak için Facebook Ücretli Reklamlarını Kötüye Kullanan Yeni 3 Adımlı Kötü Reklam Zinciri

2 gün ago Seyhan Tekelioğlu