Etiket: Node.js

Anasayfa » Node.js
npm Kurulum Komutlarında Otomatik Betik Çalıştırma Varsayılan Olarak Devre Dışı Bırakılıyor
Yazı
Haziran 11, 2026Haziran 11, 2026Güvenlik Politikaları, Tedarik Zinciri Güvenliği, Yazılım Güvenliği

npm Kurulum Komutlarında Otomatik Betik Çalıştırma Varsayılan Olarak Devre Dışı Bırakılıyor

tarafından

npm paket yöneticisinin 12. sürümüyle birlikte, yazılım tedarik zinciri saldırılarını önlemek için kurulum betiklerinin otomatik çalıştırılması varsayılan olarak devre dışı bırakılıyor. Bu değişiklik, Node.js projelerinde kötü amaçlı kodların çalıştırılmasını engellemek için geliştiricilerin betik çalıştırma izinlerini açıkça vermesini gerektiriyor. Güvenlik ekipleri ve geliştiriciler, yeni sürüme geçiş öncesi betik onaylama süreçlerini gözden geçirmeli ve CI/CD ortamlarında ek koruma önlemleri uygulamalıdır.

Node.js vm2 Kütüphanesinde Kritik Sandbox Kaçış Açığı ve Kod İstismarı
Yazı
Ocak 31, 2026Ocak 31, 2026Kod İstismarı, Sandbox Güvenliği, Zafiyetler

Node.js vm2 Kütüphanesinde Kritik Sandbox Kaçış Açığı ve Kod İstismarı

tarafından

Node.js için yaygın kullanılan vm2 kütüphanesinde, Promise işleyicilerinin yetersiz temizlenmesinden kaynaklanan kritik bir sandbox kaçış açığı (CVE-2026-22709) keşfedildi. Bu zafiyet, saldırganların güvenli ortamdan çıkarak rastgele kod çalıştırmasına olanak tanıyor. Siber güvenlik uzmanları, güncel yamaların uygulanması ve alternatif izolasyon çözümlerinin değerlendirilmesini öneriyor.

binary-parser Kütüphanesinde Kritik Node.js Kod Çalıştırma Açığı: CVE-2026-1245 Detayları
Yazı
Ocak 21, 2026Ocak 21, 2026Uygulama Güvenliği, Zafiyetler

binary-parser Kütüphanesinde Kritik Node.js Kod Çalıştırma Açığı: CVE-2026-1245 Detayları

tarafından

binary-parser npm modülünde bulunan CVE-2026-1245 kodlu güvenlik açığı, kullanıcı kontrollü girdilerin doğrulanmadan işlenmesi sonucu Node.js ortamında rastgele kod çalıştırılmasına olanak tanıyor. Bu durum, özellikle dinamik ayrıştırıcı tanımları kullanan uygulamaları hedef alıyor ve 2.3.0 öncesi sürümleri etkiliyor. Siber güvenlik ekipleri için acil yama uygulanması ve güvenilmeyen girdilerin ay

Node.js Async_hooks Modülünde Kritik Yığın Taşması Açığı ve Etkileri
Yazı
Ocak 14, 2026Ocak 14, 2026Uygulama Güvenliği, Zafiyetler

Node.js Async_hooks Modülünde Kritik Yığın Taşması Açığı ve Etkileri

tarafından

Node.js'in async_hooks API'sinde tespit edilen kritik yığın taşması açığı, birçok popüler framework ve APM aracını etkiliyor. Bu zafiyet, özyinelemeler sonucu sunucu çökmelerine ve hizmet reddi saldırılarına zemin hazırlıyor. Güvenlik yamaları yayımlandı, ancak eski sürümler için güncelleme öneriliyor.

AdonisJS ve jsPDF Paketlerinde Kritik Yol Geçişi Açıkları: CVE-2026-21440 ve CVE-2025-68428
Yazı
Ocak 8, 2026Ocak 8, 2026Node.js Güvenliği, Web Güvenliği, Zafiyetler

AdonisJS ve jsPDF Paketlerinde Kritik Yol Geçişi Açıkları: CVE-2026-21440 ve CVE-2025-68428

tarafından

AdonisJS'nin @adonisjs/bodyparser paketinde rastgele dosya yazımına izin veren kritik bir yol geçişi açığı (CVE-2026-21440) tespit edildi. Aynı dönemde, jsPDF paketinde de benzer bir yol geçişi zafiyeti (CVE-2025-68428) ortaya çıktı. Bu açıklar, özellikle Node.js tabanlı uygulamalarda dosya sistemi güvenliği ve uzak kod yürütme risklerini gündeme getiriyor.