Zoom ve GitLab, hizmet reddi (DoS) saldırılarına ve uzaktan kod yürütülmesine yol açabilecek bir dizi güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

Bunların en ciddisi, Zoom Node Multimedya Yönlendiricilerini (MMR) etkileyen ve bir toplantı katılımcısının uzaktan kod yürütme saldırıları gerçekleştirmesine olanak sağlayabilecek kritik bir güvenlik açığıdır. CVE-2026-22844 olarak izlenen ve şirket içi Saldırı Güvenliği ekibi tarafından keşfedilen bu güvenlik açığı, 10 üzerinden 9,9 CVSS puanına sahiptir.

Şirket Salı günü yayınladığı bir uyarıda, "Zoom Node Multimedya Yönlendiricilerinin (MMR) 5.2.1716.0 sürümünden önceki sürümlerinde bulunan bir komut enjeksiyonu güvenlik açığı, bir toplantı katılımcısının ağ erişimi yoluyla MMR'de uzaktan kod yürütmesi yapmasına olanak sağlayabilir" dedi .

Zoom, olası tehditlere karşı korunmak için Zoom Node Meetings, Hybrid veya Meeting Connector kullanan müşterilerinin en son MMR sürümüne güncelleme yapmalarını önermektedir.

Güvenlik açığının gerçek dünyada istismar edildiğine dair hiçbir kanıt bulunmamaktadır. Bu güvenlik açığı aşağıdaki sürümleri etkilemektedir:

  • Zoom Node Meetings Hybrid (ZMH) MMR modülünün 5.2.1716.0 öncesi sürümleri
  • Zoom Node Meeting Connector (MC) MMR modülünün 5.2.1716.0 öncesi sürümleri

GitLab Ciddi Güvenlik Açıkları İçin Yamalar Yayınladı#
Bu açıklama, GitLab'ın Community Edition (CE) ve Enterprise Edition (EE) sürümlerini etkileyen ve DoS saldırılarına ve iki faktörlü kimlik doğrulama (2FA) korumalarının atlanmasına yol açabilecek birden fazla yüksek önem dereceli güvenlik açığı için düzeltmeler yayınlamasının ardından geldi. Eksiklikler aşağıda listelenmiştir:

  • CVE-2025-13927 (CVSS puanı: 7,5) - Kimlik doğrulaması yapılmamış bir kullanıcının, hatalı kimlik doğrulama verileri içeren özel olarak hazırlanmış istekler göndererek bir DoS durumu oluşturmasına olanak sağlayabilecek bir güvenlik açığı (11.9'dan 18.6.4'e kadar, 18.7'den 18.7.2'ye kadar ve 18.8'den 18.8.2'ye kadar olan tüm sürümleri etkiler)
  • CVE-2025-13928 (CVSS puanı: 7,5) - Yayınlar API'sinde, kimliği doğrulanmamış bir kullanıcının DoS saldırısına neden olmasına olanak tanıyan hatalı yetkilendirme güvenlik açığı (17.7'den 18.6.4'e kadar, 18.7'den 18.7.2'ye kadar ve 18.8'den 18.8.2'ye kadar olan tüm sürümleri etkiler)
  • CVE-2026-0723 (CVSS puanı: 7.4) - Kurbanın kimlik bilgilerini bilen bir kişinin, sahte cihaz yanıtları göndererek 2FA'yı atlatmasına olanak sağlayabilecek bir güvenlik açığı (18.6'dan 18.6.4'e kadar, 18.7'den 18.7.2'ye kadar ve 18.8'den 18.8.2'ye kadar olan tüm sürümleri etkiler)

 

GitLab tarafından ayrıca, döngü algılamayı atlayan hatalı Wiki belgeleri yapılandırarak ve tekrarlanan hatalı SSH kimlik doğrulama istekleri göndererek DoS durumuna neden olabilecek iki orta önem dereceli hata daha giderildi (CVE-2025-13335, CVSS puanı: 6,5 ve CVE-2026-1102, CVSS puanı: 5,3).