Eresus’un araştırma, güvenlik bülteni ve güvenlik gündemi akışı
AI güvenliği, MCP ekosistemi, uygulama güvenliği ve gerçek saldırı zincirleri etrafında üretilen yazıları, güvenlik bültenlerini ve gündem analizlerini burada topluyoruz.
Son Yazılar
Joblib Model Yükleme Aşamasında Şüpheli Kod Blokları Saptandı
Joblib model yüklenmesi sırasında potansiyel olarak gizlenmiş deserialization tehditleri taşıyabilecek yüksek riskli şüpheli çalıştırılabilir komut...
Joblib / Scikit-Learn Rastgele Kod Çalıştırma (ACE) Zafiyeti
Scikit-Learn makine öğrenimi modellerini depolamak için kullanılan Joblib arayüzü üstünden yürütülen siber komut sömürü (Deserialization) teşebbüsleri.
GGUF Metadata Bellek Bozulması Zafiyeti (Llama.cpp Buffer Overflow)
GGUF modellerinin meta verilerini (metadata) kasıtlı manipüle edip Llama.cpp gibi C++ okuyucularının belleğini taşırarak sisteme sızan yıkıcı sömürü...
Ortam Değişkenleri ve Kütüphane Yollarını Ezme Zafiyeti (Extraction-Triggered Overwrite)
Model arşivinin klasöre çıkarılırken kritik ortam çalışma dosyalarının üstüne (kütüphane ezmesi) yazıp uygulamanın temel işleyişini fidye kodlarıyla...
Model Yapılandırma Formatlarıyla Rastgele Kod Çağrıları (Config Executable Targets)
Model arşivinin içine yerleştirilmiş konfigürasyon (düzenleme) nesnelerini taklit ederek siber sisteminizin yönetiminde Rastgele Kod (RCE) okutan...
Modellerde Zip Kırılması (Zip Slip) ve Klasör Atlama (Path Traversal) Tehdidi
Makine öğrenim modeli paketlerinin (zip/tar) açılması sırasında hedeflenen klasörden sızarak dış dizinlerdeki dosyaları zehirleyen şiddetli yapısal...
Zero-Day Analizi: n8n-mcp Authenticated SSRF Zafiyeti (GHSA-4ggg-h7ph-26qr)
Eresus Security Araştırma Ekibi, n8n-mcp üzerinde yetki gerektiren kritik bir SSRF zafiyeti keşfetti. x-n8n-url header manipülasyonu ile Cloud Metadata...
Mythos, Makine Hızında Sömürü ve Kimlik Saldırı Yollarının Artan Önemi
Anthropic'in Mythos'u ve ilgili yayın planını duyurması, siber güvenlik topluluğunda makine hızında ihlal hakkında anında bir tartışma dalgası yarattı.
Zero-Day Analizi: n8n-mcp Authenticated SSRF Zafiyeti (GHSA-4ggg-h7ph-26qr)
Zero-Day Analizi: n8n-mcp Authenticated SSRF Zafiyeti (GHSA-4ggg-h7ph-26qr) saldırganlara iç ağlara erişim ve veri çekme imkanı tanır.