Zoom ve GitLab, hizmet reddi (DoS) ve uzaktan kod yürütülmesine neden olabilecek bir dizi güvenlik açıklarını gidermek için güvenlik güncellemeleri yayınladı.
Bunların en ciddisi, Zoom Node Multimedya Yönlendiricilerini (MMR’ler) etkileyen ve bir toplantı katılımcısının uzaktan kod yürütme saldırıları gerçekleştirmesine izin verebilecek kritik bir güvenlik kusurudur. Şu şekilde izlenen güvenlik açığı: CVE-2026-22844 ve Saldırı Güvenliği ekibi tarafından dahili olarak keşfedilen bu dosya, 10,0 üzerinden 9,9 CVSS puanına sahiptir.
Şirket Salı günü yayınlanan bir uyarıda, “5.2.1716.0 sürümünden önceki Zoom Node Multimedya Yönlendiricilerindeki (MMR’ler) bir komut ekleme güvenlik açığı, bir toplantı katılımcısının ağ erişimi yoluyla MMR’nin uzaktan kod yürütülmesine izin verebilir” dedi.
Zoom, Zoom Node Meetings, Karma veya Toplantı Bağlayıcı dağıtımlarını kullanan müşterilerin olası tehdide karşı korunmak için mevcut en son MMR sürümüne güncelleme yapmalarını öneriyor.
Güvenlik açığının vahşi ortamda istismar edildiğine dair hiçbir kanıt yok. Güvenlik açığı aşağıdaki sürümleri etkiliyor:
- Zoom Node Meetings Hybrid (ZMH) MMR modülü 5.2.1716.0’dan önceki sürümler
- Zoom Node Meeting Connector (MC) MMR modülü 5.2.1716.0’dan önceki sürümler
GitLab Ciddi Kusurlar İçin Yamalar Yayınladı
Açıklama, GitLab’ın Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen, DoS ve iki faktörlü kimlik doğrulama (2FA) korumalarının atlanmasına yol açabilecek çok sayıda yüksek önem dereceli kusur için düzeltmeler yayınlamasıyla geldi. Eksiklikler aşağıda listelenmiştir –
- CVE-2025-13927 (CVSS puanı: 7,5) – Kimliği doğrulanmamış bir kullanıcının, hatalı biçimlendirilmiş kimlik doğrulama verileriyle hazırlanmış istekler göndererek bir DoS koşulu oluşturmasına olanak tanıyan bir güvenlik açığı (11.9’dan 18.6.4’e, 18.7’den 18.7.2’ye ve 18.8’den 18.8.2’ye kadar olan tüm sürümleri etkiler)
- CVE-2025-13928 (CVSS puanı: 7,5) – Releases API’de, kimliği doğrulanmamış bir kullanıcının DoS koşuluna neden olmasına izin verebilecek hatalı bir yetkilendirme güvenlik açığı (17.7’den 18.6.4’e, 18.7’den 18.7.2’ye ve 18.8’den 18.8.2’ye kadar olan tüm sürümleri etkiler)
- CVE-2026-0723 (CVSS puanı: 7,4) – Mağdurun kimlik bilgilerine ilişkin mevcut bilgiye sahip bir kişinin, sahte cihaz yanıtları göndererek 2FA’yı atlamasına olanak tanıyan bir güvenlik açığı (18.6.4’ten önceki 18.6, 18.7.2’den önceki 18.7 ve 18.8.2’den önceki 18.8’in tüm sürümlerini etkiler)
Ayrıca, döngü tespitini atlayan ve tekrarlanan hatalı biçimlendirilmiş SSH kimlik doğrulama isteklerini gönderen hatalı biçimlendirilmiş Wiki belgelerini yapılandırarak bir DoS koşulunu (CVE-2025-13335, CVSS puanı: 6,5 ve CVE-2026-1102, CVSS puanı: 5,3) tetikleyebilecek diğer iki orta önemdeki hata da GitLab tarafından düzeltildi.