2025 13. ve 14. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

13. ve 14. Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim	Açıklama
Insider Threat – İç Tehdit	Hoşnutsuz bir çalışandan kaynaklanan, kuruluşun içinden kaynaklanan bir güvenlik saldırısı tehdidi.

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
26-03-2025	52095	Time-of-check Time-of-Use (TOCTOU)	NVIDIA Container Toolkit 1.16.1
27-03-2025	52096	Remote Code Execution (RCE)	MoziloCMS 3.0
27-03-2025	52097	Insecure Direct Object Reference (IDOR)	KubeSphere 3.4.0
27-03-2025	52098	Stored Cross-Site Scripting (XSS)	X2CRM 8.5
28-03-2025	52099	Authentication Bypass	Litespeed Cache 6.5.0.1
28-03-2025	52100	SQL Injection	CodeCanyon RISE CRM 3.7.0
28-03-2025	52101	Path Traversal	Sonatype Nexus Repository 3.53.0-01
28-03-2025	52102	Remote Code Execution (RCE)	Rejetto HTTP File Server 2.3m
29-03-2025	52104	API Session Key Extraction via API Endpoint	Solstice Pod 6.2
29-03-2025	52105	Remote Code Execution (RCE)	XWiki Standard 14.10
02-04-2025	52106	Reflected XSS	Elaine's Realtime CRM Automation 6.18.17
02-04-2025	52107	Remote Code Execution (RCE)	ABB Cylon Aspect 3.08.01
02-04-2025	52108	Arbitrary File Delete	ABB Cylon Aspect 3.08.01
02-04-2025	52109	HTTP Request Smuggling	SAP NetWeaver - 7.53
02-04-2025	52111	Arbitrary File Read	Vite 6.2.2
03-04-2025	52112	Hard-coded Default Credentials	ABB Cylon Aspect 3.07.01
03-04-2025	52113	NTLMv2 Hash Disclosure	Microsoft Office 2019 MSO Build 1808
03-04-2025	52114	Username Enumeration	Webmin Usermin 2.100
03-04-2025	52115	File Disclosure (Authenticated)	ABB Cylon Aspect 3.07.02
03-04-2025	52116	Server Side Request Forgery (SSRF)	ollama 0.6.4
03-04-2025	52117	Stored XSS	Nagios Log Server 2024R1.3.1
03-04-2025	52118	Remote Code Execution (RCE)	AppSmith 1.47
04-04-2025	52119	OS Command Injection	Microchip TimeProvider 4100 (Configuration modules) 2.4.6
04-04-2025	52120	Stored Cross-Site Scripting (XSS)	Microchip TimeProvider 4100 Grandmaster (Banner Config Modules) 2.4.6
04-04-2025	52121	Remote Code Execution (RCE)	Angular-Base64-Upload Library 0.1.20
05-04-2025	52122	SQL Injection	Microchip TimeProvider 4100 Grandmaster (Data plot modules) 2.4.6
05-04-2025	52123	Open Redirect during OAuth Flow	IBM Security Verify Access 10.0.0
05-04-2025	52124	Authorization Bypass	Next.js Middleware 15.2.2
05-04-2025	52125	Local File Inclusion (LFI)	Kubio AI Page Builder 2.5.1
05-04-2025	52126	Stored Cross-Site Scripting (XSS)	Exclusive Addons for Elementor 2.6.9
05-04-2025	52127	Unauthenticated Arbitrary File Upload	Royal Elementor Addons and Templates 1.3.78
05-04-2025	52128	Database Configuration Information Exposure	DataEase 2.4.0
06-04-2025	52129	Admin Account Takeover	Palo Alto Networks Expedition 1.2.90.1
06-04-2025	52130	Remote Code Execution (RCE)	Watcharr 1.43.0
06-04-2025	52131	Unauthenticated Arbitrary File Upload	Backup and Staging by WP Time Capsule 1.22.21
06-04-2025	52132	Authenticated Remote Code Execution (RCE)	WBCE CMS 1.6.3
06-04-2025	52133	Stored Cross-Site Scripting (XSS)	Reservit Hotel 2.1
07-04-2025	52134	Remote Code Execution	Apache Tomcat 11.0.3
07-04-2025	52135	Unauthenticated Path Traversal	YesWiki 4.5.1
07-04-2025	52136	Remote Code Execution	XWiki Platform 15.10.10
08-04-2025	52137	Unauthenticated Privilege Escalation	WordPress User Registration & Membership Plugin 4.1.1
08-04-2025	52138	Authenticated Remote Code Execution (RCE)	Nagios Xi 5.6.6
08-04-2025	52139	PHP Object Injection	UNA CMS 14.0.0-RC

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür	Platform
27-03-2025	CVE-2025-2332	Kod çalıştırma	Export All Posts, Products, Orders, Refunds & Users plugin for WordPress
28-03-2025	CVE-2025-2294	File inclusion	Kubio AI Page Builder plugin for WordPress
29-03-2025	CVE-2025-2266	Ayrıcalık kazanma	Checkout Mestres do WP for WooCommerce plugin for WordPress
31-03-2025	CVE-2025-3011	SQL enjeksiyonu	SOOP-CLM from PiExtract
01-04-2025	CVE-2025-31084	Nesne enjeksiyonu	Sunshine Photo Cart
01-04-2025	CVE-2024-13553	Ayrıcalık kazanma	SMS Alert Order Notifications – WooCommerce plugin for WordPress
01-04-2025	CVE-2025-2237	Kimlik doğrulama baypas	WP RealEstate plugin for WordPress
02-04-2025	CVE-2025-2005	Kod çalıştırma	Front End Users plugin for WordPress
04-04-2025	CVE-2024-13645	Kod çalıştırma	tagDiv Composer plugin for WordPress
04-04-2025	CVE-2025-2780	Kod çalıştırma	Woffice Core plugin for WordPress
04-04-2025	CVE-2025-2798	Kimlik doğrulama baypas	Woffice CRM theme for WordPress
04-04-2025	CVE-2025-3265	SQL enjeksiyonu	PHPGurukul e-Diary Management System 1.0
04-04-2025	CVE-2025-3266	Overflow	Qinguoyi TinyWebServer
05-04-2025	CVE-2025-2941	Kod çalıştırma	Drag and Drop Multiple File Upload for WooCommerce plugin
07-04-2025	CVE-2025-3330, CVE-2025-3331, CVE-2025-3332	SQL enjeksiyonu	Codeprojects Online Restaurant Management System 1.0
08-04-2025	CVE-2025-3361, CVE-2025-3362, CVE-2025-3363	OS komut enjeksiyonu	Web service of iSherlock from HGiga
08-04-2025	CVE-2025-2004	Kod çalıştırma	Simple WP Events plugin for WordPress
08-04-2025	CVE-2025-27429	Kod enjeksiyonu	SAP S/4HANA
08-04-2025	CVE-2025-30016	Baypas	SAP Financial Consolidation
08-04-2025	CVE-2025-31330	Kod enjeksiyonu	SAP Landscape Transformation
08-04-2025	CVE-2024-41788, CVE-2024-41789, CVE-2024-41790, CVE-2024-41794	Kod çalıştırma, ayrıcalık kazanma	SENTRON 7KT PAC1260 Data Manager
08-04-2025	CVE-2024-54092	Kimlik doğrulama baypas	Industrial Edge Device Kit, Industrial Edge Own Device, Industrial Edge Virtual Device, SCALANCE LPE9413, SIMATIC Industrial Edge Device

Haftanın Zararı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür	Hedef
26-03-2025	QWCrypt	Fidye yazılımı	Genel
26-03-2025	SparrowDoor ve ShadowPad	Arka kapı	ABD ve Meksika Kuruluşları
31-03-2025	Remcos RAT	Uzaktan erişim truva atı	Ukrayna'daki kuruluşlar
03-04-2025	Triada	Arka kapı	Genel
03-04-2025	GolangGhost	Arka kapı	İş arayan insanlar
04-04-2025	WRECKSTEEL	Truva atı	Ukrayna devlet sistemleri

Haftanın Veri İhlalleri

Tarih	Veri İhlal Başlığı	Tür	Platform
28-03-2025	Nevşehir Hacı Bektaş Veli Üniversitesi	Yetkisiz erişim	Üniversite Bilgi Yönetim Sistemi

Haber Yazısı 1

Microsoft, Kötü Amaçlı Yazılımları Taşımak İçin PDF'ler ve QR Kodları Kullanan Vergi Temalı E-posta Saldırıları Konusunda Uyarıda Bulundu

Tarih: 3 Nisan 2025

Microsoft, vergiyle ilgili temaları kullanarak kötü amaçlı yazılım dağıtan ve kimlik bilgilerini çalan çeşitli kimlik avı kampanyalarına karşı uyarıyor.

Microsoft, The Hacker News ile paylaştığı raporda, "Bu kampanyalar, özellikle kötü amaçlı eklerde bulunan URL kısaltıcılar ve QR kodları gibi yönlendirme yöntemlerini kullanıyor ve tespit edilmekten kaçınmak için dosya barındırma hizmetleri ve işletme profili sayfaları gibi meşru hizmetleri kötüye kullanıyor" ifadelerini kullandı.

Bu saldırıların oluşturduğu riskleri azaltmak için kuruluşların kullanıcılar için kimlik avına dayanıklı kimlik doğrulama yöntemleri benimsemesi, kötü amaçlı web sitelerini engelleyebilen tarayıcılar kullanması ve uygulamaların veya kullanıcıların kötü amaçlı etki alanlarına erişmesini önlemek için ağ korumasını etkinleştirmesi önemlidir.

Haberin ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Apple, Fransız Düzenleyici Tarafından 150 Milyon Avro Para Cezasına Çarptırıldı

Tarih: 1 Nisan 2025

Apple, Uygulama İzleme Şeffaflığı (ATT) gizlilik çerçevesinin uygulanması nedeniyle Fransa Rekabet Kurumu tarafından 150 milyon avro para cezasına çarptırıldı.

Autorité de la concurrence, Apple'ın 26 Nisan 2021 ile 25 Temmuz 2023 tarihleri arasında iOS ve iPadOS cihazları için mobil uygulama dağıtıcısı olarak sahip olduğu hakim konumu kötüye kullandığı gerekçesiyle Apple'a mali ceza uyguladığını duyurdu.

iPhone üreticisinin iOS 14.5, iPadOS 14.5 ve tvOS 14.5 ile tanıttığı ATT, mobil uygulamaların, cihazlarının benzersiz reklam tanımlayıcısına (yani Reklamverenler için Tanımlayıcı veya IDFA ) erişmek ve hedefli reklamcılık amacıyla kullanıcıları uygulamalar ve web siteleri genelinde izlemek için kullanıcıların açık rızasını almasını gerektiren bir çerçevedir .

Düzenleyici otorite, ATT'yi "yapay olarak karmaşık" olarak tanımlayarak, çerçeve aracılığıyla elde edilen onayın, geliştiricilerin kendi onay toplama çözümlerini kullanmalarını gerektiren Fransız Veri Koruma Yasası kapsamında gerekli yasal yükümlülükleri karşılamadığını söyledi.